6月8日のtwitterセキュリティクラスタ

昨日はF-Secureブログ一周年記念パネルディスカッションがありました。このブログもそういうところで書ければいいのですが… で、昨日のパネルディスカッションから気になったツイートを。

M1n0x: 悩みの種はMSよりAdobe」 #fsecure_jp #FSBLOG
takumi_onodera: Vista/7の機能が使われていない件は、耳が痛い #fsblog
kyo_ago: 「Google自体を信用したとしても、公的機関から参照受ければGoogleは個人情報を渡すだろう」 #fsblog #fsecure_jp
M1n0x: 「我々はGoogleのユーザーであって顧客ではない。顧客は広告主。」 #fsecure_jp #FSBLOG
ripjyr: 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp
ripjyr: これはtsudaりじゃなくて、僕の意見です。それも、「一般に」ではなく、「一般の」@k_satoh QT @vulcain: なんと(;゜0゜) RT @ripjyr 一般にセキュリティレベルは技術者の5年前のレベル。#fsecure_jp
そういや休憩中に中継を見てつぶやいた人に向けての抽選会がありました。セキュリティは専門家ですが、抽選やイベント運営には慣れてない感じでほほえましかったです。

ripjyr: ぶっちゃけ、F-Secureさんの抽選あたってうれしいけど、@v_avengerが当たらなくてよかったとホッとしている僕がいるw
確かに他のレイヤーで設計時にセキュリティホールが減らせるならそれに越したことはないと思います。コーダーはセキュリティよりも最小限の工数で終わらせる方が好きでしょうし。

ikepyon: 今のWebアプリにおけるセキュリティ対策って、コードに依存しすぎていると思う。結果、一般的なプログラマにとって大きな負担になりすぎているのではないか?
ikepyon: もっと、要件定義や設計段階からなるべく脆弱性が出来ないような仕組みにしていったほうがいいんじゃないかと思う
枝葉を責めるなら幹から辿った方が効率的ですものね。そういや昨日セキュリティツールをダウンロードするための登録画面にXSSがありました。セキュリティってなんなんでしょうね。

bulkneets: ダメなWeb制作会社の実績紹介ページ、XSS探すのに便利
そしてXSSフィルタ誤検出のお話。誤検出した後の画面で脅威が起こるって本末転倒な話ですが。

bulkneets: IE8のXSSフィルタ誤検出で起こるscriptタグ破壊によって本来JSとして出力されるはずの要素がHTMLとして出力されることによって引き起こされる脅威の度合いがどれぐらいか調べてる。
bulkneets: ソースが表示されてユーザーが怖がるのはscriptを内に書くことで回避出来る。いくつか試したけどformとかonmouseoverもついでに無効化されるから悪用は出来ないっぽい感じがする。基本的にはHTMLとして解釈してもJSとして解釈しても安全にしといた方がいい
bulkneets: 元々出力されるHTMLに含まれるscriptタグを検索文字列に指定することで大体のサイトでXSSフィルタの誤検出は起こせるんだけど、ユーザーが知らないもんだから脆弱性があるとか勘違いする。
bulkneets: 脅威の度合いとしては誤検出なのに騒ぐユーザーが一番大きい
kinugawamasato: XSSフィルタやNoScriptがXSSと思わしき動作を遮断(誤検知) → 大変や!XSS脆弱性や!→ 報告 →それは脆弱性じゃないです って流れ経験したことある人いそう。
おやようやく。AdobeってMSみたいに変節なく、昔から首尾一貫していい加減で、それはそれですごいですよね。昔コードを読んだ人がひどい… って言ってましたが変わってないのかなあ。

kaito834: Adobe Flash Player の脆弱性については、2010年6月11日(日本時間)に修正プログラムが公開されるようだ。アドバイザリAPSA10-01が更新されていた。 http://tinyurl.com/2da3pt6 *Tw*

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>