12月6日のtwitterセキュリティクラスタ

何気に豪華なラインナップなWeb AppSec Night 2012です。2000円。六本木。来週ですか。

12/13夜、”Webセキュリティに関心のある方が集う、楽しくカジュアルなビアバッシュ形式の勉強会”を開催。#WASNIGHT2012 bit.ly/UIIbmV

百瀬昌幸氏(LASDEC) keynote 1:「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」12/13夜。 #WASNIGHT2012 bit.ly/XrQTIR

松並勝氏 keynote 2: 「Androidアプリの脆弱性(セキュリティホール)を防ぐ、JSSECのセキュア設計・セキュアコーディングガイド」 12/13夜。 #WASNIGHT2012 bit.ly/XrQTIR

“Web AppSec Night 2012” ってステッカー、誰か作ってくれないかなあ。

新しくできた地域型ドメイン名のCookieの扱いについて。

都道府県型JPドメイン名ですが、ブラウザによって対応の差がありますね。IEは地域型JPドメイン名と同じで、汎用JPドメイン名としての扱い。Windows上のFirefoxとChromeは大丈夫そう。OperaはIEと同じで、地域型・都道府県型にクッキーモンスターバグあり…

Android上の本家ブラウザとChromeは、example.tokyo.jp上でdomain=example.tokyo.jpと指定したCookieを受け入れない。これは地域型と見て弾いているもよう。これはちと痛い

iPhone5上のSafariは、example.tokyo.jp上のコンテンツで、domain=example.tokyo.jp指定のCookieを受け入れない。これは地域型と見て弾いているようだが…

iPhone5上のSafariは、example.tokyo.jp上のコンテンツで、domain=example.tokyo.jp指定のCookieを受け入れる

地域型ドメイン名、都道府県型JPドメイン名上でWebアプリケーショーンを動かさなければならない場合、Cookieのドメイン名指定をしないでセッションID保持のみに使い、セッション固定脆弱性に気をつける、くらいですかね。Cookieの凝った使い方をすると危ない

【再訂正】Operaは地域型JPドメイン名にはクッキーモンスターバグあり。都道府県型JPドメイン名は大丈夫。domain=bunkyo.tokyo.jpなど第3レベルのドメインで受け入れるので、同じ市区町村内ではクッキーモンスターバグの影響あり、ということになります。

IEはCookieのドメイン指定に関して、汎用JPドメイン名、地域型JPドメイン名、都道府県型JPドメイン名のいずれもが、汎用JPドメイン名として扱われます。domain=tokyo.jpのSet-Cookieを受け入れます。IE10でも同じでした。

その他に気になったことはこのあたり。

【JNSAせきゅり亭】12月のお題は「12月」or「クリスマス」。この時期ならではのセキュリティにちなんだ標語・川柳等お待ちしてます。
投稿はツイッターで「#JNSAせきゅり亭」でつぶやくかメールも受付中。 11月の良い作品は掲載中です!
jnsa.org/update/senryu.…

KENT-WEB 製 ACCESS REPORT におけるクロスサイトスクリプティングの脆弱性 jvn.jp/jp/JVN23563149… jvn.jp/jp/JVN68830017… リファラのエスケープ漏れで埋め込みコードとログがXSS。届け出は2010年10月と2012年10月

ありがちですね。

先月AVTokyo 2012の資料をアップしました/ 文字列曖昧検索によるマルウェアバイナリ解析 slideshare.net/pfi/ss-15511636 #avtokyo

このエントリから一年経ちましたが、まだ「克服」されていないですよー(PHP5.4.9で確認) > @yohgaki PHPのセッションアダプション脆弱性克服への道のり blog.ohgaki.net/fixing-php-ses…

【宣伝】 日経BP社から Android セキュリティ・バイブル 2013 が発行されました。今回は概要である第1章に大幅に手が加えられており、私の日経コミュニケーションの連載が整理された形で掲載されています。ぜひご覧ください。 ec.nikkeibp.co.jp/item/books/213…

日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」 rocketnews24.com/2012/06/20/222… @RocketNews24さんから
名前がもうね

チェックしておきたい脆弱性情報<2012.12.06>(CSIRTメモ) nkbp.jp/TRnqSy #itprojp

[@IT]AVTokyo 2012レポート:雑然紛然? ここが変だよ、日本のモバイルアプリとAPT! bit.ly/WL7mDb

【伊東寛】サイバー戦に備える人材育成~ハッカー採用検討!?[桜H24/12/4]: youtu.be/24nExhlFlZc

2012 LLVM Developers’ Meetingのスライドとビデオが公開されていますね。 llvm.org/devmtg/2012-11/

Microsoft Security Bulletin Advance Notification for December 2012 technet.microsoft.com/en-us/security… 2012年12月MS定例パッチは緊急5件、重要2件の計7件。Windows,IE,Officeなど。

仮想化のリスク。なんとVMが消された。「仮想化によって拡大するセキュリティリスク VM削除事件」 rbbtoday.com/article/2012/1…

まあ当初から良く言われていたことですが。

【PHPセキュリティ保守】mbstringのencoding transalationが有効な場合にDoSが可能となるパッチセットをリリースしました。 ow.ly/fTjR9 このサービスは弊社とSRA OSS社の共同サービスです。

DoSが可能となるパッチ!?

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation