twitterセキュリティネタまとめ

土曜日はまっちゃ４４５です。私は今回もキャンセル待ちという名の落選で、毎回申し込みが遅いなあと後悔しきりです。

decoyservice: なんだ、明日はまっちゃ４４５か。一回行ってみたかったんだけどなぁ、残念。

先日の図書館にDoSして捕まった件。高木先生がまた電話しています。きっと今週はヒマだったんでしょうね。まずは図書館の方。具体的な内容は書けないくらいイヤな感じだった模様。

HiromitsuTakagi: 岡崎市立中央図書館に電話中。

connect24h: 岡崎市立中央図書館、やっちまったか。RT @HiromitsuTakagi: すごい嫌な感じの対応だった。岡崎市民は立ち上がるべき。

HiromitsuTakagi: すごい嫌な感じの対応だった。岡崎市民は立ち上がるべき。

HiromitsuTakagi: すごいいやな感じがしたのは、名古屋方面の言葉遣いのせいかな。

そして、高木先生は岡崎署の方にもでんわ。twitterでは突っ込まれることの多い大垣靖男氏も岡崎署の方に電話したみたいです。こちらは真面目に受け答えされてますね。

yohgaki: 岡崎署の方は普通でしたね。感じは良い方だったと思います。 @HiromitsuTakagi すごいいやな感じがしたのは、名古屋方面の言葉遣いのせいかな。

yohgaki: @HiromitsuTakagi 予想通りの「捜査中なので質問には答えられない」でしたが、なぜ逮捕が不当である可能性が高いのか検索サイトのクローリングを例に説明したところ電話に出た方は納得したようでした。

HiromitsuTakagi: 愛知県警岡崎署に電話。Q1:産業の発展に萎縮効果が出ると懸念するのですが。A1:捜査中なので新聞発表通りのことしかお伝えできない。やみくもにサーバの機能が低下したからと逮捕したわけではなく、そこまでに至るものはお話しできないですが。 Q2:何かあるんですね。A2:そういうことです。

HiromitsuTakagi: A2続き:おっしゃる通りそういうこと（悪意のない連続アクセスでサーバが落ちたりする）はあると思う。それだけで逮捕できるものではない。Q3:過失でこういう結果を起こしても逮捕されるのかと世間で広がっていて産業の発展に萎縮が出かねないと思う。過去にも事例がなかったと思う。

HiromitsuTakagi: A3:過去にもサーバに負荷がかかって停止に追い込まれ、業務妨害という起訴事例はある。 Q4:その場合、嫌がらせするとか恨みがあってとか、最初に報道される時点でそういう情報が出ていたと思う。今回は何もない。連続してアクセスするプログラムを作って動かしていたという報道。

HiromitsuTakagi: Q4続き:報道は警察の発表に従って出ているものですよね。業務妨害の意図を持ってやったと疑わせるのに十分なだけの何かポイントが、発表になかったのでは？報道されていないということは。A4:報道のあり方ですよね。

HiromitsuTakagi: Q5:報道は警察発表に基づいて…A5:もちろんです。それが産業の発展に萎縮効果をもたらすということですね。Q6:記者に対する発表で、業務妨害の意図を持ったものという肝心なポイントを付けた上で、今回発表されたのでしょうか？記者がそこを抜かして書いちゃったのならマスコミの問題ですが。

HiromitsuTakagi: A5:私は一捜査員なのでその点は把握していない。上層部が検討の上マスコミ発表している。こういった意見が多々あることを上層部にあげて今後検討していかなければならないと思う。捜査自体は故意が認められるという情報を持っているので進めていくが、発表のしかたについては、産業の発展を阻害…
HiromitsuTakagi: A5続き:産業の発展を阻害するのではないか、不安感を煽って萎縮させるのではないかという意見が複数あるということは上層部に伝えたい。Q6:ありがとうございます。

HiromitsuTakagi: 感想。肝心のポイントを発表できない理由があったのだとすれば、この段階で報道させる必要があったのか。記者も言われたままに書いてて疑問を持たないのかね。

HiromitsuTakagi: 補足修正。「過失でこういう結果を起こしても逮捕されるのかと世間で広がっていて…」で言いたかったのは、「行為者としては過失であっても、警察と裁判所の技術的無理解から、故意で以外でそんなことはあり得ないと決めつけられるのではないかという不安感が世間に広がっている」ということ。

yohgaki: Instapaper Pro: ウェブサイトをあとで読むための最強アプリ。iPadのWi-Fiユーザーは絶対必須！< こういう物をうかつに使うと逮捕されかねないのが某市役所管理下の某図書館

そして、脆弱性を発表するものに対する高木先生のご意見。リニューアルされた某社はどうやらセキュリティについてはリニューアルされていないようですね…

HiromitsuTakagi: 脆弱性を発表した者は、その後とやかく言わないのが吉。私はそうしてる。

HiromitsuTakagi: 言うのは1回だけ。あとは人々がどう思うか。

HiromitsuTakagi: あー、でも、はてなについてだけは言いたくなるね。プンスカ。

yohgaki: 時々指摘していますが某セッションアダプションが直らない。考え方が違いすぎて議論しても意味がないので時々指摘するくらいしかしてません。論理的に指摘しても理解しない人は理解しないので。

yohgaki: 考え方が違いすぎる人と議論してもあまり意味がないからでは？ RT @rocaz: これはとやかく言いすぎると感情論に陥るからという配慮でしょうか。それとも美学？ RT @HiromitsuTakagi: 脆弱性を発表した者は、その後とやかく言わないのが吉。私はそうしてる。

yohgaki: 別に私が関わっている某プロジェクトだけでなく、某フレームワークもREMOTE_ADDRが X-FORWARDED-FORで書き換えられるのは脆弱性ではない、と修正を拒否したりしています。レポートして後は関わらないのが良いでしょう。レポートした時点で責任は果たしています。

次は経済産業省のサイト。改ざんされているのか、製作者が仕込んだのか、ミスして流用したコードにリンクが残っていたのかは知りませんが、特撮.comへのリンクが潜んでいたようです。

ockeghem: これはひどい RT @rocaz: こ れ は www RT @ippai_attena: RT @greenmarch: なんだこれ！経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

yumano: 黙っておいたほうが世の中のためになりそうｗ RT @ockeghem: これはひどい @rocaz @ippai_attena @greenmarch:経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

ymzkei5: んなバカなっ！ｗｗｗ　RT @ockeghem @rocaz @ippai_attena: RT @greenmarch: なんだこれ！経済産業省のサイト、一番下のリンクの、利用規約と法的事項の間の「｜」をクリック！http://www.meti.go.jp/

ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ikepyon: 実はRFPに含まれていたとか？（ないないｗ RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

yumano: @ockeghem @ntsuji @ymzkei5 特撮好きなひとの自己主張では？

ockeghem: @ikepyon バックドアを設けないこと、とRFPやポリシーに書いてなかったから、制作会社が仕込んでもよいと思っていた?www

と、盛り上がっていると早速修正されたようで、何事もなかったかのように消えてしまいました。釣りだったのでしょうか。

ntsuji: あれ？消えてません？リンク。　RT @ikepyon: 実はRFPに含まれていたとか？（ないないｗ RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ockeghem: 消えたようですね。はやっ! RT @ntsuji: あれ？消えてません？リンク。

ymzkei5: お。消えた。 RT @ntsuji: あれ？消えてません？リンク。 RT @ikepyon: RT: @ockeghem: @yumano @ntsuji @ymzkei5 改竄されたんじゃないのと疑うレベルですね。バックドアなんでしょうか。

ockeghem: この対応の速さはすごい

ntsuji: @ockeghem Twitter経由のアクセスが多くて気付いたのかもしれないですね。それにしても早すぎですよねｗ

yumano: @ntsuji @ockeghem 白昼夢だったのか？！

ymzkei5: 経産省のサイト、ついさっきまで。⇒<a href="main/rules.html">利用規約</a> <a href="http://www.tokusatu.com/">|</a> <a href="main/mers.html">法的事項</a>

ntsuji: 経済産業省と特撮.comの関連性がもの凄く

ockeghem: 最初に見つけた人すごいな。これはレビュアーをお願いしないといけないかもw

ntsuji: お問い合わせフォームから経済産業省に「特撮.com」へのリンクついて質問してみましたが、返事がきませんよ。

ntsuji: 経済産業省と特撮.comの件、保存・まとめをされている方がいますね。http://bit.ly/brrvKI

HTML5 TIPS。まだHTML5は書いたことありませんが、いろいろと対応すべきことがあるんですね。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでsetRequestHeaderするときは、GET/POSTの前にOPTIONSが飛ぶので、サーバ側ではその対応が要る。

ockeghem: @hasegawayosuke 診断業者の中には、「OPTIONSは危険」とかいう報告するとこもあるみたいですからね

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでCookie送信したい場合は、xhr.xhr.withCredentials =true を事前にセットすること。

hasegawayosuke: HTML5 TIPS: XDMでwindow/iframe間通信するときは、送信元のorigin確認すること。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでは、サーバ側はリクエストヘッダ内のoriginを根拠に相手を判断、信用してはいけない。非ブラウザなら偽装が簡単なので。

hasegawayosuke: HTML5 TIPS: クロスドメインXHRでCookie送信したい場合は、xhr.withCredentials =true を事前にセットすること。

そして、今週話題だったockeghem氏がWebアプリケーションセキュリティの本を出版されるそうですよ。セキュリティ系の書籍は労力の割に部数が厳しいという噂ですが、売れるといいですね。

ockeghem: 日記書いた『 本を書くことになりました&レビュアー募集のお知らせ』 http://d.hatena.ne.jp/ockeghem/20100528/p1

kinyuka: @ockeghem 来年6月には続編の「超マニアック編」が出版されることを期待してます！

kinyuka: 「完璧なウェブセキュリティ」とかどうですか！

そして、氏の調査でソフトバンクを動かしています。

ockeghem: 本当だ。情報提供ありがとうございます! RT @stsrn: @ockeghem 「ブラウザ機能拡張編」の巻末にDNS Rebindingに関する注記が追加されてますね。http://creation.mb.softbank.jp/

ockeghem: DNSリバインディング対策をキャリアが具体的に指示したのは初めてですね

なかなか両立は難しいですが、攻撃方法を知らない限り守れないですからね。

ucq: 俺が少し攻め方知ってるからって守れると思うなよ！(セキュリティ的な意味で)

うわ、堅牢さ、間違ってる。

totoromasaki: 某地方大学で、ループメールが発生した模様。ただし、不幸中の幸いか、システムは安楽死せず、大量（１００万通超え）のメールが、管理者に届き、管理者が死亡しているらしい。中途半端に堅牢なシステムを作るとこうなるんですな。 *YF*

来月開催されるネットエージェント社10周年記念パーティについて。抽選だったようで、軒並み落選しています。びっくり爺さんは当選したようですが。

ockeghem: ネットエージェントから落選のお知らせorz

ymzkei5: 私も落選しました。（＾ー＾；　RT @ockeghem: ネットエージェントから落選のお知らせorz

ikepyon: うちの若いのも落ちたらしい

yumano: @ockeghem @ymzkei5 TLみながら、まだ届かないな～と待っていたら落選通知をゲットしたぜ！！

totoromasaki: おなじくRT @yamionp: ネットエージェントのレセプションおちたorz *YF*

ikepyon: セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^) RT @ikepyon セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

yumano: 普段からスーツでないとダメとか RT @ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^) RT @ikepyon セキュリティクラスタの人が軒並み落ちていると言うことは、もしかして、そういう人に来て欲しくなかったとかｗ<ネットエージェント（ないない

ikepyon: ドレスコードは半ズボンか、葉っぱ1枚じゃない？ｗ RT: @yumano: 普段からスーツでないとダメとか RT @ockeghem: 場にふさわしくない人種と見られている感がありますね(^o^)

jii3: あら、当選したのじゃ！ #netagent10th

すると、どこからともなく落選組が集まってust見たり講演会が行われそうな勢いに。ちょっと期待したいところです。

ockeghem: 落選者で集まって、裏講演会でもしますか?w RT @ymzkei5: 私も落選しました。（＾ー＾；　RT @ockeghem: ネットエージェントから落選のお知らせorz

hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

ymzkei5: @ockeghem くやしいからそうしようかと一瞬思ったのですが、平日なんですよねｗ

yumano: ちょwww 講演者がきてどうするww RT @hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

ymzkei5: Rejectセキュリティ&プログラミングキャンプに、本物のセキュキャン講師が来たのと同じようなものかｗｗｗ　RT @hasegawayosuke: 参加希望! RT @ockeghem: 落選者で集まって、裏講演会でもしますか?

hasegawayosuke: いまだと @ockeghem さんをスピーカーにした講演会を主催して入場料とったらいいんじゃね。という商売を思いついた。

ikepyon: じゃ、そこでプレゼンしてもらえば良いんじゃね？ｗ RT: @ymzkei5: Rejectセキュリティ&プログラミングキャンプに、本物のセキュキャン講師が来たのと同じようなものかｗｗｗ　RT @hasegawayosuke: 参加希望! RT @ockeghem

yumano: それだ！！！ RT @hebikuzure: @ockeghem ust 見ながら突っ込む会とか。

ymzkei5: ｗｋｔｋ　RT @yumano: それだ！！！ RT @hebikuzure: @ockeghem ust 見ながら突っ込む会とか。


yumano: うちの会社の会議室は借りれなかった・・・どこかスペースないかな。 RT @hebikuzure: @yumano 裏番組ってのがいいなあ

ikepyon: 飲み会だけでも参加したいｗ RT: @hebikuzure: @yumano 裏番組ってのがいいなあ

yumano: ルノアールだと8人部屋 1100/h だ。RT @hebikuzure: @yumano ルノアールのマイスペースとか無線LANもあってよく使うけど

yumano: @bugbird 開放空間でUstをみる集団はちょっと不思議だなぁｗ

bugbird: @yumano 予約入れればレストランの一角を貸し切ることもできます＜都市センターホテル

yumano: @bugbird 参考ありがとうございます。ルノアールだとこんな感じで部屋を借りれるみたいです。結構豊富。APが腐っているのはWiMaxとかでなんとか？ https://www.ginzarenoir.jp/grms/pub/pc/schedule.php?c_type=29

yumano: それありなの？w RT @ripjyr: NA東京本社？とかいうw RT @yumano: ルノアールだと8人部屋 1100/h だ。RT @hebikuzure: @yumano ルノアールのマイスペースとか無線LANもあってよく使うけど

そして、社長さんからのありがたいお言葉。

lumin: 担当者は、画面に向かって謝りながら、泣く泣くメールを送っていました。（手動） #netagent10th

テーマ : セキュリティ
ジャンル : コンピュータ