5月10日のtwitterセキュリティクラスタ

いよいよゴールデンウイークが明けました。しばらくは仕事に邁進ですよ。新製品の発表とかが相次いだりするのでしょうか。
IPAのセキュリティ情報サイトにXSSですか。医者の不養生とはまさにこのことですね。

kinugawamasato: 動かなくなりました! https://sec.ipa.go.jp/enterprise/index.php?userid=%22%3E%3Cmarquee%3E&cmdLogin=%C1%F7%BF%AE
kinugawamasato: XSS報告の参考にどうぞ。→ http://f.hatena.ne.jp/masatokinugawa/20100510155852
hasegawayosuke: 経験的に、sec.ipa はXSS多い感じがするけど、PHPよく使ってるからなのかな(偏見)
kinugawamasato: sec.ipaなのにXSS多いとか笑えませんね><
kinugawamasato: sec.ipaメンテになった!アナウンス出てる。メールの「他に同様の問題が無いかこれから調査」って形式的な返事じゃなくてホントだったのかな。

セキュリティクラスタで大人気の予感がするマルウェア解析本です。イベントとか合ったりするんですね。編集とか営業の人は大変だと思いますが、がんばってたくさん売ってほしいものです。

yarai1978: マルウェア解析本の予告です。 http://twitpic.com/1mmvd6
tessy_jp: おぉ!
cchanabo: まぁ!!!
connect24h: 買う予定。
ipv6labs: PACKERの解説があるのかな。面白そう
yarai1978: packerの解説あります!
tdaitoku: @yarai1978 もちろん買います。なのでサインも下さいw
yarai1978: 先行購入可能な刊行イベントも企画しています!

もうそろそろ忘れられてしまう話題かもしれませんが、詳しい人による、iPadの技適問題についてのフォローです。ためになります。

harusanda: iPadの技適表示の件、なんか一般の人の認識がおかしい気がする(そういういい方もどうかと思うけど)。技適表示が必要なんじゃなくて、電波法上「技適表示できる機器であることが必要」というのであって、認証に通っていれば、電波法違反にはならない。単に挙証手続の問題。
harusanda: たとえば経年変化で認定端末機器番号が読めなくなっても法110条にはあたらない。また無線 LANの外付けアンテナを買うと、組み合わせによって技術基準適合の認定端末機器番号が異なるけど、着脱のたびに機器番号を貼り変えなくても罪には問われない。
harusanda: そのあたりは 無線LANセキュリティの強化書、同教科書2009-2010(いずれも白夜書房)のそれぞれで、合法的に手作りアンテナを使用する方法のコーナーを書くときに、取材や問い合わせで詰めた。
harusanda: 3級陸特を持って開設してる人は? 電波暗室での試験は? 認証前の試作品の製造は? > マーク無しの無線機の使用は電波法違反にあたるとされ~ http://bit.ly/8Ykz9d
harusanda: 電波の使用と、無線設備の使用は異なるのだけど、もうしょうがないね。あきらめ。
iPhoneもSafariですが、iPhoneってちゃんとアップデートされるるのかなあ。心配です。。

ripjyr: I’m reading now:Safariに未修正の脆弱性情報、コード実行の恐れ http://www.itmedia.co.jp/enterprise/articles/1005/10/news024.html
たしかにフレームワークが脆弱だと、使ってるシステムはのきなみ脆弱ですものね。

yohgaki: 要約すると結構セキュリティ側に振ったフレームワークを使ってないと凄い脆弱性がある事が多い Security risks of web application programming languages: http://bit.ly/cKIrrt
いよいよv6ですか。とはいえ大手町あたりでは「もうバックボーンv6だからどうでもいいじゃね」とか言ってそうな予感が。

drugmania: IPv4アドレスブロック割り振り。残り18ブロックか。「31.0.0.0/8」と「176.0.0.0/8」
セキュリティ対策チートシートです。いきなり担当者になってしまった人などはこれを見るといいかと。

lac_security: セキュリティ対策推進協議会 http://www.spread-j.org/sheet/index.html お役立ちシート
今年流行のクラウドとセキュリティネタです。1000円です。

lac_security: ~クラウドコンピューティングとデータを考える~   [日時]2010年5月25日(火)  14:45~17:30    ]http://www.db-security.org/seminar/dbsc_seminar6.html
そして、こちらはWeb。期待しましょう。

yarai1978: 執筆した「クラウドを悪用した攻撃の実態」が公開開始されました。今日から金曜日まで1本ずつ公開されていきます。http://itpro.nikkeibp.co.jp/article/COLUMN/20100412/346955/
ソフトウェアDEPでゼロデイも安心な「FFR yarai 脆弱性攻撃防御機能」が今日発表されたようです。

ripjyr: I’m reading now:ついに真打登場か? http://blog.fourteenforty.jp/blog/2010/05/post-4c35.html
壊れたPostScriptのファイルを開いてなんかいじった記憶が蘇ります。なんでそんなことになったのかは全く思い出せませんが。つかどんなpdfもバイナリ実行できるようにさせることができたりするのでしょうか。怖いです><

hasegawayosuke: そういえば隣席のひとが「PDFの構造はだいたいわかった」って言いながらエディタでPDF書いてた。Launch action 入りのも作ってくれるんじゃね。

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>