第9回神戸情報セキュリティ勉強会がありましたー
残念ながら参加できなかったのですが・・・レポートをまとめておきます
参加者のBlogとか
PHPの命令を使っていても十分でなかったりしたり、コピペ元が微妙だったりするので要注意ってことですね。
実際には、PHP というよりは、ウェブの設計上の問題に起因するセキュリティもあります。
http://www.ounziw.com/php/security-study/
例えば、CSRF は、想定外のページ遷移により、予期しない動作をするものです。ブログ記事投稿なら、「投稿ボタンを押す → 投稿処理」というケースが多いでしょう。管理者に怪しげなリンクを踏ませるなどして、投稿処理ページへアクセスさせ、投稿処理を実行してしまう、という攻撃です。
CSRF については、HTTP プロトコルがステートレスであることが根本的な要因でしょう。ウェブアプリのレイヤーで、アクセスの連続性をチェックする仕組みを用意する必要があるのが、そもそも設計ミスだったように思います。もっとも、インターネット作成時には、そこまで考えるのは困難だったのでしょうけど。
Rackさん色々あるが、設計が一番大切、そこで考慮に入っているか入っていないかが大きい。
・Webセキュリティ
http://rack990.sakura.ne.jp/archives/entry-651.html
やっぱり設計者の責任は大きい。「わからん」とかいう奴は出直したほうがいいかも。
自分も仕事上そういうことを言いますが、正直、「コーディングなんか嫌」とかいって上流に逃げてる輩は技術面がボロボロで、Webセキュリティとかなんて全然わかってないですね。その上勉強する気すらなかったりする。
携帯の端末IDとかについては、それ単体で認証するってのはありえないですね。せめてパスワードをつけるべきですね。
まあ、携帯から入力するのが大概めんどくさいとはおもいますが、自分のプライバシーは自分で守らないとだめです。
誰かが守ってくれるものでは少なくともないです。人任せにしすぎです。
やっぱり本編が駆け足wwwwwwwwwwwwwwwwwwwwwwwww
・無線LANのセキュリティ
http://rack990.sakura.ne.jp/archives/entry-651.html
セキュリティうどんに引き続き、面白いお話を聞けました。前置きですでに勉強になります(笑)
でもやっぱり本題が駆け足になっちゃうところがまた楽しいです。
自分の家では無線LAN入れてますが、もう少しパワーのあるAPに入れ替えようかなと思ってます。(鉄筋なので電波が・・・)
WEPは以前から禁止してますが、ついでなのでWPA2オンリーに変えようと思います。
まあ、自分のThinkPadやMacBookやiphoneくらいしかつながないんですけどね。
基本的な事を啓蒙か・・・大事ですね、基本をフレームワークにして使ってもらうのが一番ですね。
一つ目のセッションでは、Webアプリケーションの脆弱性の6割はプログラムに依存することなので、そこを押さえることでかなり脆弱性がなくなる。というお話でした。基本的にはやるべきことをやる!まぁ当たり前なんですが、この「基本的なこと」をどのように現場で啓蒙していくのか?が重要かなーと再認識。
http://kaeru.homeip.net/bata2/archives/2009/08/29-231058.php
あとは、フレームワークで対策するのがよいとのご意見。
これも当たり前といえばそうなんですが、けろよん。はPerl使いで大規模なフレームワークって使ってなかったので、そのあたりの感覚が弱いようです。最近は社内ツールでRailsを使ってみたりしながらフレームワークの便利さを実感しているところ。そうなるとフレームワークのバージョンアップにいかに対応するか?といったリスクをしっかり考えておかねば。。。と思いました。
入門書のセキュリティwwwwwwwwwwwww
● ウェブのセキュリティについて
http://d.hatena.ne.jp/ounziw/20090829
1. 設計、仕様、実装、運用のどの時点で起こるか
2. 携帯識別番号に頼る実装のリスク
3. プログラムの境界(データの受け渡し)で脆弱性が生じやすい
4. 出力時にチェックすることで、大抵は防げる
5. 入門書のコードは危険なことがある(これは仕方無いと思う。学習用スクリプトのセキュリティを参照。)
Webアプリ開発の基本の基本か・・・
私もWebアプリケーションの開発経験は少ない方なので、
神戸情報セキュリティ勉強会に参加しました。: T-1000の日記
池田さんのお話は参考になりました。
それと同時に同じような内容の話を以前に聞いていた事も思いだしました。
今日聞いた話は、Webアプリケーションの開発の基本なのかもしれません。
が、それを守ってない人が多いということなのでしょうか。
うっはーーー新幹線で乗り過ごし!!!これは厳しい!
で、懇親会に行って、いろいろと話を聞いてから
神戸情報セキュリティ勉強会に参加しました。: T-1000の日記
さて、帰るかと新幹線に乗ったまでは良かったが、、、
気がついたら、広島
人生初の新幹線で寝過ごしました。。(岡山で気がつかなかったのか。。。)
今は広島駅の新幹線口近くの東横インで宿泊中です。。。
色んな意味で、楽しかったです。
面白かった模様・・・
今回は ikepyon さんのWebアプリの話と森井先生の話。
第9回神戸情報セキュリティ勉強会(セキュメロ#9) - fooの日記
ディスカッションがなかったのですが、話題いっぱいでした。
いつもながら森井先生の話はおもしろい。
講師のBlogとか
確信犯wwwwwwwwwwwwwwwwwwwwwww
暗号がメインの話のはずでしたが,確信犯的^^;に余談を交えて,ネットワークセキュリティ全般について,私が研究,あるいは開発に関わっていることを中心に話をさせて頂きました.今回も時間が足らなくなり,お詫び申し上げます.また,呼んで頂ければ,次回はさらにテーマを絞って話をさせて頂きます.研究室での研究テーマの一部はここにあります.
まずは恒例のお詫びから...神戸情報セキュリティ勉強会(セキュメロ)で講演しました. | 神戸大学 教養原論「情報の世界」講義(大学院工学研究科 森井昌克 教授)
d:id:ikepyon:detailさんの資料が公開されたそうです。
http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9
旅はどこに行こうか? - ikepyonのお気楽な日々〜技術ネタ風味〜
セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます
