6月9日のtwitterセキュリティクラスタ

きのうは鯨が現れっぱなしで、仕事に専念されていた方が多かったようです。たまには仕事しなくちゃね。そういやInteropの展示が始まったみたいです。毎年ショボくなっていく気がするのですが、今年は盛り上がっているのでしょうかね。
そろそろBlackhatも近づいてきました。

BlackHatEvents: Just Announced! The Arsenal at #BlackHatUSA 2010 – Call for Tools/Demos: For more info visit http://bit.ly/bHcyTJ
そして、対となるDEFCONの方もCTF予選の結果がアップされています。

tessy_jp: DEFCON18 CTF予選の最終結果がアップされてます。 RT @ddtek: Official quals scores, stats, and table positions posted at www.ddtek.biz.
最近人気の携帯網のセキュリティ話。
ソフトバンクのNVMOであるディズニーモバイルをチェックされています。

ymzkei5: 携帯サイト制作道場:見過ごされがちなセキュリティ。徳丸さん。 RT @bakera: [メモ] http://www.flexfirm.jp/technicalnote/dojo/index.html
実はもっと基本的な話が見過ごされているではないのかというのが次に。
問題なのはもともと閉じてたところに携帯電話じゃないものがアクセスできる可能性があったり、その閉じたところでのセキュリティに対する考えを、閉じてない勝手サイトでも当てはめようとするところなんでしょうね。

naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。
ikepyon: 閉じたネットワークってどういうことなのだろう? RT: @naonee: 昨日、携帯サイトの開発担当者と話す機会があった。ドコモ公式サイトは、閉じられたネットワークなので、ある程度のセキュリティは担保されており、PCサイトと同等なセキュリティ対策はしなくてもよいという認識だった。
naonee: @ikepyon 簡単に言えば盗聴が出来ないということかと。
ikepyon: @naonee それって、公式サイトってインターネットとは別のネットワークにあるってことですか?
ikepyon: うーん、もしそうだとすると認識がひどいorz
naonee: @ikepyon 公式サイトは必ずドコモのゲートウェイを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのゲートウェイからの送信元IP アドレスのリクエストしか受け付けません。
naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。 QT @ikepyon うーん、もしそうだとすると認識がひどいorz
ikepyon: なるほど、そういうことで、閉じられたネットワークという認識ですか。RT: @naonee: @ikepyon 公式サイトは必ずドコモのGWを通らないとアクセスできないんです。従って、Webサーバー側から見れば、ドコモのGWからの送信元IPアドレスのリクエストしか受け付けません。
ikepyon: なんてこったいorz泣けますねぇ(涙 RT: @naonee: そうなんですよ。UIDによるセッション管理でも、クロスサイトリクエストフォージェリ対策しろなんて仕様は書いてないとか言ってるし・・・。
ikepyon: これが、ケータイWeb開発者の真の実力ということかorz もちろん、ちゃんと理解している人はいるんだろうけど。
ikepyon: しかし、こういう話を聞くと、DNS Rebindingを使った攻撃の危険性以前の問題のような気がするなぁ
MSって面白いことやっても作り込みが甘くて逆に嫌われるケースが多いですよね。基本的にサイトは訪問するたびに嫌いになっていく造りですし。セキュリティとは関係ないですがw

rakugodesi: このページにリンクされているテンプレート集にはサンプルが無いので、米国のサンプル集からダウンロードしたが、ベータ版で作成されているとのたまって動作しないのが多数。そのうち修正されたものがでてくるのだろうか? http://ow.ly/1W01w
お、久しぶりですね。これからも更新を期待しております。

yarai1978: 復活第一稿が公開です。 http://journal.mycom.co.jp/column/itsecurity/035/index.html

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>