6月7日のtwitterセキュリティクラスタ

iPhone4が発売されたそうです。199ドルですか。電話なくても買いたい気分になる値段ですね。
そういやInteropです。都内から幕張って遠いうえに、Interopのときはだいたい雨が降ってて京葉線が遅れたり止まったりする気がします。

sonodam: 早め切り上げで打ち合わせに向かわなければならないんだけど、幕張メッセって微妙に交通の便が悪いんだよなー。
の作り方に期待。というか解析がわかれば作り方はわかるようなわからないような。

suma90h: 『デコンパイリングJava』のカバー見てて今気づいた 今秋発売予定『アナライジング・マルウェア』 豪華執筆陣
suma90h: 目次(予定)の「~の解析」などを「~の作り方」にするととても危ない内容に見えるハック
そして、昨日話題だったのは、UNLHA32.DLLの開発停止のこと。JVAがlhaで圧縮したウイルスがアンチウイルスをすり抜けることをIPAが脆弱性として認めなかったからのようです。

h_okumura: UNLHA32.DLL開発停止って,だれが言ったの? どこに書いてあるの? http://internet.watch.impress.co.jp/docs/yajiuma/20100607_372657.html
h_okumura: いずれにせよMiccoさんはJVNが脆弱性報告を受理しなかったことでお怒りのようです。どうしてこんなことになったのでしょうか http://www2.nsknet.or.jp/~micco/incidents/2010/inci1006.htm#i20100602
scannetsecurity: 「LZH」アーカイバの開発を中止、JVNへ脆弱性報告では「不受理」(Micco’s HomePage): http://url4.eu/48em0
それに対する、報告者からの意見。至極全うです。

hasegawayosuke: そもそも現行のIPAの制度ではアンチウイルスで未検出については対象外なので不受理だろう (経産省告示第235号)。 ZIP,Cab,7zのJVNVU#545953はCERT-FI経由の情報を掲載しているだけ。
hasegawayosuke: LZH内のファイルがアンチウイルスで検出できない、というのにCVE番号欲しいなら英語で bugtraqにでも投げればいい。その際、LZH形式がどれだけ日本でメジャーなのかをきちんと伝えること。
hasegawayosuke: ちなみにIPAで受理/不受理の境界でもっとも疑問に感じたのは、Namazuが不受理だったのにHyperEstraierは受理だったこれ。http://jvn.jp/jp/JVN18282718/index.html
CSV吐かせる場合、区切り文字関係はエスケープしないと普通にテスト通過しないでしょうからねえ。

itochif: @ikepyon DBやブラウザへの出力では出来ていない(何も考えていない)人が、CSVを吐き出すコードを書かせた時だけ、それなりにエスケープさせている不思議
ikepyon: テストで「”」「,」を含むデータをたまたま入れて、おかしくなったことがあったからじゃ?RT: @itochif: @ikepyon DBやブラウザへの出力では出来ていない(何も考えていない)人が、CSVを吐き出すコードを書かせた時だけ、それなりにエスケープさせている不思議。
bakera: @ikepyon @itochif 確かに……。あの伝説の csvmail.cgi も、XSS・ディレクトリトラバーサル・メールの不正中継と何でもありだったのに、CSV のエスケープだけはちゃんとできていたという……。
そりゃ見れるものは何でも見るでしょうよ。

sasakitoshinao: DPIをイラン政府が情報検閲に利用している。/ ディープ・パケット・インスペクション: イラン政府のインターネット検閲を通信企業が支援した技術はアメリカでも広く利用されている: マスコミに載らない海外記事 http://bit.ly/agAAta
個人使用はフリーになったので使おうと思ったけどまだ使ってないPaketiXがオープンソースになるのですか。

togakushi: PacketiX VPN をオープンソース (GPL) 化し筑波大学 VPN プロジェクト (UT-VPN) としてダウンロード開始 http://tinyurl.com/2dka3kw
今夜ですね。忘れないようにしよう。

gohsuket: 明日の17時スタート @FSECUREBLOG のUstイベント http://is.gd/cBQQv RT @risa_ozaki: …最新ITセキュリティレビューをUstream& Twitterで実況生中継 http://bit.ly/aEvDyh #fsblog
愛がないとセキュリティ検査なんてしないと思いますよ。犯罪者は別だと思いますが。

WASForum: 「セキュリティスペシャリストはツンデレってのは重要だ」 #SDL_WS
コメント取りって自分たちの言いたいことを補強するためにすることも多いですから、曲解されたり、都合よくねじ曲げたりすることが多いですから、取材される側もする側も読む側も注意したいものです。

sonodam: 朝日新聞にあんなこと言ってないぜバーロー

sonodam: 言ったのはこういうことだ>「DPI活用は一義的にはセキュリティ。匿名性の悪用を防ぐ有効な手立てとなりえるかもしれない。
sonodam: しかし、プロバイダーにとって通信の秘密は絶対であり、付随的にマーケティング素材として活用できるかもしれないが、オプトイン、オプトアウトなどによって利用者の承諾を得ることは大前提である。」
sonodam: 総務省もあたかも許容することを「決めた」かのように書かれているが、んなこたぁ無いんだよ。
sonodam: ・・・という講演の最後のところが一番おもしろかったかも知れないな(笑)。
ずいぶん前の話のような気がしていましたが、WASForumの講演レポート。

ymzkei5: ■”かんたんログイン”のセキュリティ問題とは何なのか? – WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 http://journal.mycom.co.jp/articles/2010/06/07/wasforum/index.html
Unicode関連とか突けばまだまだいろいろあるんでしょうねえ。

masa141421356: 16進の数値文字参照をつぶやく→ハッシュタグ検索するとエスケープされて表示。そのツイートを単独で表示するとエスケープされていない #x1D4C1
masa141421356: そのまま 𝓁 手動エスケープ &#x1D4C1 単独

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>