第02回まっちゃ445勉強会感想まとめ
まっちゃ445勉強会を取り上げてくださったBlogをご紹介しています。
おいしかった
わっふる
あなたが
よろこんでくれて
あたし
うれしいよw
そういえば自分で感想いうの忘れてた
勉強会
- 学生率高くてうれしかった:20%は超えていたかも
- 初めての人が半数ってところかな。まぁ2回目だし
- ネタは濃かったwww
- TAKESAKOさんのまとめと比喩が素晴らし過ぎた
- 携帯小説大賞ネタはわからなかったwwwwwwww(個人的に
- 徳丸さんがぶっちゃけな、WAFの話をしてくれて、現状が理解できてよかった
- 女性が少なかったのが、残念。WAFだしな・・・(5%ってところか)
懇親会
- 一部の地域の密度とネタが濃かった
- 一部の女性の周りに人集まり過ぎw
- 一部の学生さん集まり過ぎw
感想は以下より
ゆまのさんとhitoさんのライトニングトークの資料を公開しました!!!
・「CVE-2008-1447を踏まえたDNS」(hitoさん)
http://sites.google.com/site/matcha445/saturday-workshop/2nd-workshop
・自己流リバースチャレンジ(ゆまの)本当に竹迫さんは、天才竹迫ですね。頭の回転も速くて、言葉も豊富(比喩も上手)素晴らしい人です。
徳丸さんも講師ありがとうございました。本当に素晴らしい時間ありがとうございました。
私自身の感想として、あらためて竹迫さん(id:TAKESAKO)は優しい方なのだなという思いを強くしました。自らは天才プログラマなのに、初心者を慮った言動が際だっていました。「初心者がいきなりセキュアプログラミングの奥義を示されてもとまどうでしょ」みたいな。Namazuのセキュリティ対策の体験がきいているのかもしれませんが、それにしても、です。
第02回まっちゃ445勉強会 - ockeghem's blog
なんか今回の肝みたいな結論というか、誤解の元を開設されています。なんとなくそんな気がする・・・
WAFの話も結局、ブラックとホワイト、どっちのリスティング内容の方が少なくて、固定的になり得るのか、ということなんでしょうね。それは、もしかしたらもっと斜め上のグリーンリストとかかも知れないけど。
ホワイトリスト - 極楽せきゅあ日記
で、WAFの場合はホワイトリスト、つまり許可するパターンのリストの方が少なく、固定的だと思われているんだけど、実はそうじゃないんじゃないか、というところが、今回の議論の発端なのかな。攻撃手法はどんどん新しいのが出てくるし、ブラックリストこそいっつも変化流動するから、ホワイトリストがいいじゃん、という意見が主だったけど、まー実際ホワイトリスト作ってみると、作るのに1ヶ月とかかかって、ようやく作り上げたかと思うと「広告のバナーを変えた」「ちょっと階層構造変える」「サイトリニューアルするぞ」という台無し攻撃の嵐が来ることは珍しくないわけでw。むしろ攻撃手法をプリミティブに分解してリスティングしたほうが固定的なんじゃん?とあっしも思う。カバレッジは限定的だけどね。
朝弱い人発見!wまぁ、土曜日ですし・・・しょうがないですね。
朝、目が覚めたら10時をまわってた。
第02回まっちゃ445勉強会 - 〜⊂´⌒⊃(=・ώ・)丿日記
目覚ましに出る予定が・・・
それより、車に便乗させてもらう予定だった友人からの着信履歴が・・・orz
ごめんよー
岩本さんのご感想。時間切れ感はやっぱりしたか・・・懇親会恐くないので次回は是非!
関連記事に挙げられている議論の延長戦。「すべての変数をHTMLエスケープする」という、それ自体はまっとうな開発手法を、大垣さんが「ホワイトリスト的」と表現し、徳丸さんが「それはホワイトリストとは無関係でしょう」と突っ込む、見ていてドキドキする流れでした。もうちょっと見ていたかったのですが、残念ながら時間切れ。続きは懇親会で話されたのでしょうか。私は大人数に恐れをなして懇親会に参加しなかったので、分かりません。
第02回まっちゃ445勉強会に参加した - 岩本隆史の日記帳(アーカイブ)
てか、既にある程度80%程度クリアしているフレームワークとかあるし。。。。それを100%に近づける仕事する方がよっぽど効率的ですよ>いけぴょん
この間のまっちゃ445の懇親会で出てた話なんだけど、セキュリティのことを考えずにアプリを作れるフレームワークがありゃいいんじゃないの?という意見がid:sonodamさんから出てた記憶がある。
やる気でない - ikepyonのお気楽な日々〜技術ネタ風味〜
実際、そういうフレームワークを作れんこと無いと思うんだけど、難しいだろうなぁと思う。
わっふるわっふるのお店のページを紹介しています。
第2回まっちゃ445勉強会で、130個用意した、わっふるわっふるのお店です。
ワッフル・ケーキの店 エール・エル オフィシャルサイト(情報元のブックマーク数) - まっちゃだいふくの日記★とれんどふりーく★
徳丸さんが、まっちゃ445での発表資料を公開してくれています!!!!!すごい!!!ありがとうございます。
テーマ ワッフルを食べながらわっふるわっふるを考えよう!(Web Application FireWall)
演題 WAF入門 〜原理、効果、限界〜
http://www.hash-c.co.jp/archive/matcha445.htmlアジェンダ
- WAFとはなにか-
- 商用WAFについて-
- 防御の実際-
- まとめ(WAFとどう付き合うか)
これなんですよね、懇親会の魅力。本当にぶっちゃけな話をすることが出来るところ。
http://bakera.jp/ebi/topic/3259懇親会
大垣さん、徳丸さん、竹迫さん、佐名木さんらが同席する「濃い席」に居合わせることができ、しかも後半は園田さんまで合流して盛り上がりました。出た話題をいくつかメモ。
- ホワイトリスト話。「出力時にホワイトリストで処理する」と言われると、「原則として全ての文字を数値文字参照で出力し、安全であることが明確な一部の文字だけを素通しする」という処理をイメージしますよ……。
- PHPみたいな感じでもっと堅牢な感じの言語はないのだろうかという話が出て、私が「ASP.NETは固いイメージがある」と言うと、割と同意してもらえました。検査員も .aspx だと萎えたりするそうな。園田さんが「Microsoft .NET Web アプリケーションセキュリティ (www.amazon.co.jp) 」をオススメしてくださいました。
- 脆弱性を直す気がない人っていますよね、という話。IPAが公表することは難しいようなので、発見者が公表するしかないか?
わーぃ、捕獲しましたw(何
てか、実物とマッチしました!!!
第2回まっちゃ445勉強会行ってきました
あまり一般的とは言えない逸般向けニュース 9/29 丸太が竹刀で斬れるかどうか、少し頭を働かせればわかることだが敢えて立ち向かった不退転に免じて最後のメイドバッジは貴様のものだ!!: Stressful Angel
感想とかは後日もうちょっと長めにうだうだしますが、軽めに
自己紹介のとこでStressful Angelの中の人です風味なことを言ったところ、ごく一部から反応が……見ていただいているようです(^^;;;;;;
隣の方がやなか作戦室の中の人でした、名刺ありがとうございますm(__)m徳丸さんのWAFはわかりやすかった。あと問題点とかもわかってよかったなぁ。
WAFってなんだろ?からのスタートでしたが、最初の徳丸氏のトークでなんとなく概要が分かりました
あまり一般的とは言えない逸般向けニュース 9/29 丸太が竹刀で斬れるかどうか、少し頭を働かせればわかることだが敢えて立ち向かった不退転に免じて最後のメイドバッジは貴様のものだ!!: Stressful Angel
おやつの時間、R.Lというラベルのついたワッフルをいただく(北海道ミルクとブルーベリー)……美味しいe&
竹迫氏の「あたし彼女」ネタ、昨日今日のネタを取り入れていていつ資料作ったんだろうとか思いながら聞いてたり、って言うかそのネタにすぐ反応できる会場もすばらしいと思いましたが
パネルディスカッションがブラックリストとホワイトリストの話で白熱
Twitterからの話だったようでそのあたりは分かりませんが用語の使い方が曖昧だと相互理解が得られない風味な感じでいいんでしょうか?wwwwwやたら濃すぎです>あそこ
席替えを命令すればよかったw
懇親会
あまり一般的とは言えない逸般向けニュース 9/29 丸太が竹刀で斬れるかどうか、少し頭を働かせればわかることだが敢えて立ち向かった不退転に免じて最後のメイドバッジは貴様のものだ!!: Stressful Angel
一部やたらと濃いテーブルがあったのでその後ろのテーブルに着席して聞き耳立ててたりいえいえ、お話できて本当に良かったです!
まっちゃ氏、園田氏からお声をかけていただいて、ちょっと感激してたのは内緒です(ミーハーなので)
あまり一般的とは言えない逸般向けニュース 9/29 丸太が竹刀で斬れるかどうか、少し頭を働かせればわかることだが敢えて立ち向かった不退転に免じて最後のメイドバッジは貴様のものだ!!: Stressful Angelはい、みたかったです・・・忘れてた・・・
あ、お見せすればよかったですか?>NDSで動くWEP解析系ツール
あまり一般的とは言えない逸般向けニュース 9/29 丸太が竹刀で斬れるかどうか、少し頭を働かせればわかることだが敢えて立ち向かった不退転に免じて最後のメイドバッジは貴様のものだ!!: Stressful Angel
急遽前日セットしたんで動作確認とかほとんどしてなかったんですが、とりあえず動いてたっぽいです
ログとか残せるのかとかろくに添付されてたファイルも読んでなかったので、動いてるの見せるだけとか言う悲しい状況ではありましたが(ぉ
講師のおひとり大垣さんの感想です。細かい反応はできないので・・・・識者よろしく♪
3人ともWAFの効用や限界に意見の相違はなかったのですが、私と徳丸さんにはシステム開発に於けるブラックリストとホワイトリストの使い方には意見の相違があったと思います。うまく議論をまとめられなかったのでブログに書きます。
http://blog.ohgaki.net/-17
まっちゃだいふくのLT資料公開しました。
急遽まっちゃ445目覚まし勉強会でライトニングトークしてきました。
わっふるってことでわっふるよびちしき in まっちゃ445目覚まし勉強会(PDF) - まっちゃだいふくの日記★とれんどふりーく★
ライトニングトークなんて、自己紹介の延長で良いので、こんなネタでどう?って意味も含んでいます。
本当に、簡単に作れました。
あんな夜中まで(3時ぐらいかな・・・)時間調整させてしまって済みませんでしたm(_ _)m
いかんなんか眠気が止まらない。話は面白いのでその時間中は覚醒しているんだけどなあ。
まっちゃ445 - 極楽せきゅあ日記
久しぶりにPiO来たけど、蒲田駅が変貌していて驚きました。
無茶振りでのパネルありがとうございました。
でも、何人か前に出て話してもらいたい人がいましたね>某人と某人w
逆に、それがあったので観客もリングに上がってる感じがしたのかもしれませんね。
最後のパネル、パネラー側で座っていたけど、もっともリングサイドな観客でもあったあちき。モデレートという形でパネル議論に関与できるというのは、観客・聴衆としてもっとも理想的なポジションだよなって思ったw。
まっちゃ445 - 極楽せきゅあ日記
わっふるへのワラワラ具合が最高でしたw、人たかりすぎw
もっとワッフルねたで引っ張ればよかったwwwwwwwww
●散文まとめ
第2回まっちゃ445勉強会に行ってきました - sakukaの日記
・大阪で第13回 Admintech.jpが同日開催。【ブラウザ祭り】だったようです。
あれ、Webアプリ開発者的にはあっちもありだったか。
・参加者さんの1/3ほどの目当てはわっふるわっふる(甘くて美味しい)
・まっちゃさんと竹迫さんは【撮影自由】(定常自由かは不明(笑))
・むずかしいけど開発者には限界があるよなあと再認識なセキュリティ。
・yamagataさんはデフォ21番。
・勉強会に参加するとやっぱり欲しくなるUMPC。
・あとちっちゃいプロジェクタも欲しくなる。使い道はない。
・WlistとBlist、難しいなあ。開発者的には両方使わないと
にっちもさっちもかなあと思いますた。
スタッフの皆様、講師の皆様、今回もお疲れ様でした&ありがとうございました。
yamagata21hさんの感想文w
WAFってので、ググっても出てこないのは先に有名なWAFという略称があるからか・・・application firewall>海外。
- 海外では「WAF」と言わないということは無さそう。>“Web Application Firewall (OWASP)”
ただ、Application layer firewall という呼び方もあったり、また、他の何かの略で「WAF」になるものが日本語より多いために埋もれてしまっているのかも。
- PCIDSS 要件6.6 コードの見直しとアプリケーションファイアウォールの明確化
次の条件を満たす必要があります: ポジティブとネガティブの両方のセキュリティモデルの実装。ポジティブモデル(「ホワイトリスト」)では、許可する動作、入力、データ範囲などを定義し、定義されていないものはすべて拒否します。ネガティブモデル(「ブラックリスト」)では、許可しないものを定義します。
a threadless kite - 糸の切れた凧(2008-09-27)
- 午前中の「目覚まし勉強会」で、大垣さんが、PHP に存在している Session Adoption の問題の話をするときに、Cookieファイルを読み取り専用にされた場合に session_regenerate_id が無力だという話をされていましたが、例えファイルが読み取り専用でも、(次回起動時はまた元に戻ってしまうとしても)その場限りでのセッションIDの更新は可能なので、ログイン成功時に session_regenerate_id をすれば、Session Fixation は防げそう。 無力とまでは言えない?
- 懇親会、徳丸さんと大垣さんと竹迫さんと佐名木さんと太田さんが1つのテーブルに座ってたw 途中からさらに園田さんまで参戦w 豪華キャストでとても濃ゆい話題が飛び交っていたw
JUMPERZ.NETが無事、WAF OSSでヒットするようになりました(何w
ww ここで連呼すれば掲示板だけヒットするかな?
http://www.jumperz.net/index.php?i=6&threadId=51911222484193696
「WAF OSS」
いえいえ、色々助かりました!>スタッフ
分業がどんどん進んできているので、色々よろしくお願いしますm(_ _)m
わっふるもwaffleネタも懇親会も堪能させて頂きました。
雑記帳(2008-09-27)
スタッフとしてはまだまだですが…(ぉ
そんな事いわずに是非きてくださいよー。僕もあんなゆるふわな、ライトニングトークですし!!!
スタッフの皆様の
http://kinshachi.ddo.jp/blog/comp/archives/000823.html
講師の皆様の
発言された皆様の
お蔭だと
わたくし本当に思います。
本当にありがとうございます。
だけど
第3回まっちゃは
ライトニングトークで
ロシアンルーレット
するみたい
はてしなく不安がつのりました。
行けないかも・・・(;Д;)
H20・9・27
めっちゃ濃い話を聞けたようでよかったよかった。
確かに、電源は必須ですよねwwwwww
まとめ
2008-09-28 - 廃墟
わっふるおいしかったよ!!
会場は電源の口が豊富にあって良かったです。
懇親会でもめちゃめちゃ濃いセキュリティ話が聞けました。レイヤーが異なる(アプリケーション層より深い)所のセキュリティは自分にとって未知の世界だったので、その辺りのお話をしてくださった方々には本当に感謝します。スタッフ、講師の皆様もありがとうございました。