5月24日のtwitterセキュリティクラスタ
22日のWASForumで公表されたソフトバンクの「かんたんログイン」に対する脆弱性について。DNSリバインディングとJavaScriptでなりすまし可能だそうですよ。
そして、直訴。
そして、まだまだたくさん見かけるXSSについて。はてなは晒すと修正されて、ライブドアは@bulkneet 氏宛につぶやくと5秒で直るらしいですよ。
就活サイトから個人情報が丸見えだったり、googleのキャッシュから見れたりしたそうです。googleクロール用にユーザーを発行してて、そいつが他の人の情報を取れたりしたのでしょうか。そもそも、他のユーザーの個人情報が見られるだけで最悪ですが。
CTF予選に日本から参加していたチームSUTEGOMA2は一時期14位まではランクアップしたものの、20位だった模様。皆様2日間お疲れ様でした。
そして、ちょっと気になるサイトたち。この後突っ込みが結構入ってた気がするので、気になる人は@bakeraさんのつぶやきをチェック。
今、テンペストの研究してる日本のセキュリティ企業ってあるんですかねえ。電波暗室とかで常日頃測定してたりするのでしょうか。
ockeghem: 昨日のWASForumカンファレンスに孫社長はお見えになりませんでした。現状をお伝えしたかったのに、とても残念です。これからアドバイザリなどで広く公開します
ockeghem: 『セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』 http://www.hash-c.co.jp/info/2010052401.html
rocaz: ケータイ会社が脆弱性を認めて修正した例ってあるのかな?docomoの例のは正式なコメントは出てたんだっけ
ockeghem: 出てないと思います。関連: http://j.mp/bh5Z24 RT @rocaz: # ケータイ会社が脆弱性を認めて修正した例ってあるのかな?docomoの例のは正式なコメントは出てたんだっけ
rocaz: 認めたら自分らの信頼が傷つくとか思ってるんですかね。だとしたらひどい話です
rocaz: .@masason 孫さんにつぶやかないと何も動かないらしいですよ(苦笑) RT @ockeghem: 『セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』 http://bit.ly/cizsYY
ockeghem: リリース公開する前に何度かつぶやきましたが、お返事いただけなかったので、公開に至りました
connect24h: 意味が分からなかったのでは。
rocaz: ケータイ系の脆弱性は0-dayのデフォルト公開でいい気がしてきました(笑)
ockeghem: 公開にあたっては慎重な判断は求められますが、基本的には同意です。端末の修正に時間が掛かりすぎるので、回避策があれば、即座に公開した方が良い場合が多いと思います。
そして、直訴。
ockeghem: .@masason Yahoo!ケータイの「かんたんログイン」なりすましの件を報告したものです。実は、孫社長ならこの問題を1秒で解決できます。社長から『ソフトバンク社は「かんたんログイン」など認めていない、だからこれは脆弱性ではない』、と言っていただければ全て解決です
ymzkei5: これで孫さんから返事が来たら、徳丸さんのサイトも、晴れて500エラー頻発になりますかね。(ドキドキw
ockeghem: いや、まじでそれが一番心配なのですけど。サーバー増強となると、ますます出費がかさみますよ w
ymzkei5: 有名税・・・ですね?w
bakera: @ockeghem 公式という言葉で思い出しましたが、本件に関しては公式サイトが影響を受ける可能性もありますよね? そうであれば、ソフトバンク側から公式サイトに対してアナウンスがあってしかるべき状況でだと思うのですが。
ockeghem: .@bakera キャリア公式については、関わるべき立場でないし、関わりたくもありませんねぇ。お仕事として依頼が来れば別ですが・・・来ないような気がしますがw<
bakera: 利用者の立場からすると、課金も絡む公式サイトのほうがより重要な話。建前上はキャリアが責任を持つのでしょうが、現実問題としてその動きにあまり期待できないとなると、うーむ。問題を理解している人々が協調して行動できると良いかな、と思うところですね。
ockeghem: お金が絡んでいたり、重要度の高いサイトが相手ですからね。意見を言える立場の人が疑問や要望をどんどんあげていくしかないのではないでしょうか RT @bakera: …課金も絡む公式サイトのほうがより重要な話…問題を理解している人々が協調して行動できると良いかな、と思うところですね。
そして、まだまだたくさん見かけるXSSについて。はてなは晒すと修正されて、ライブドアは@bulkneet 氏宛につぶやくと5秒で直るらしいですよ。
kinugawamasato: はてなのウクレレ記法によるXSSが修正されたよ! http://d.hatena.ne.jp/masatokinugawa/20100524/uke_xss
kinugawamasato: @bulkneets ありがとうございます!livedoorのXSSもmalaさんにDMすれば手っ取り早いですか!
bulkneets: @kinugawamasato マジレスするとさらすと直るんじゃなくて俺がいちいちIRCで知り合いに連絡していて面倒くさいのでjkondoってひとに@を飛ばすと良いですよ。はてなスタッフらしいです。
bulkneets: @kinugawamasato なんでもどうぞ。その方が早いです。
kinugawamasato: livedoorが5秒でXSS直してきた
就活サイトから個人情報が丸見えだったり、googleのキャッシュから見れたりしたそうです。googleクロール用にユーザーを発行してて、そいつが他の人の情報を取れたりしたのでしょうか。そもそも、他のユーザーの個人情報が見られるだけで最悪ですが。
ymzkei5: エンジャパン。>■就活サイトから個人情報が丸見え!ネットで非難の嵐が。(秒刊サンデー) http://news.livedoor.com/article/detail/4785515/
bakera: [メモ] 発端となった投稿。このメールの書き方だと、公開してはまずいURLだとは思えないでしょうね。 http://namidame.2ch.net/test/read.cgi/recruit/1274023215/12
ymzkei5: たしかに!(ー_ー; RT @bakera: [メモ] 発端となった投稿。このメールの書き方だと、公開してはまずいURLだとは思えないでしょうね。 http://namidame.2ch.net/test/read.cgi/recruit/1274023215/12
CTF予選に日本から参加していたチームSUTEGOMA2は一時期14位まではランクアップしたものの、20位だった模様。皆様2日間お疲れ様でした。
sen_u: お、14位!がんばってくださいー http://stalkr.net/defcon/scoreboard.htm RT @tessy_jp: 来るか? wktk
tessy_jp: あと800点くらい? くやしー 残り2時間切ったけどまだまだ頑張る。
tessy_jp: お疲れ様。今一歩届かず...
yumano: sutegoma2 20位 おつかれさまでした http://bit.ly/9XHCd0
そして、ちょっと気になるサイトたち。この後突っ込みが結構入ってた気がするので、気になる人は@bakeraさんのつぶやきをチェック。
bakera: [セキュリティ] こんなのあったのですね……。あとで。http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents2/index.html
ripjyr: うぉー!すげぇ充実してる。 QT @libraryp: 充実っぷりがすごい TrendMicro Download Center - Pattern Files http://tinyurl.com/39zgvl6
lac_security: 気になるニュース 1000人ですか・・ 「米国防総省、米軍サイバー対策を統括する司令部を設立」 http://itpro.nikkeibp.co.jp/article/NEWS/20100524/348338/?ST=security (^む)
今、テンペストの研究してる日本のセキュリティ企業ってあるんですかねえ。電波暗室とかで常日頃測定してたりするのでしょうか。
ymzkei5: IPAから私宛に封筒が届いたが、部署名の「ペンテスト技術部」が「テンペスト技術部」になっていた。そっちのセキュリティじゃありません。(笑
