Kazuho@Cybozu Labs: XSSに強いウェブサイトを作る テンプレートエンジンの選定基準とスニペットの生成手法 (第1回神泉セキュリティ勉強会発表資料)(情報元のブックマーク数)
興味深い資料だ!!!奥さんには是非勉強会で話をしてもらいたい!!!
発表資料は以下のとおり。春山様はじめECナビの皆様、ありがとうございました。
Kazuho@Cybozu Labs: XSSに強いウェブサイトを作る – テンプレートエンジンの選定基準とスニペットの生成手法 (第1回神泉セキュリティ勉強会発表資料)
XSSに強いウェブサイトを作る テンプレートエンジンの選定基準とスニペットの生成手法
現場の開発者は考えずにコーディングを優先させたいから、フレームワークが必要ですよね。そう言う意味でセキュリティ的に長けているフレームワークというのはなんなんだろうなぁ・・・とはいえフレームワークで全部吸収できるわけじゃないしな・・・
開発者(たぶん、現場の中でもテンプレエンジンの評価とかを任されちゃう人だから、中心的な人物なんだろね)の評価軸、セキュリティ版ていう感じですね。いやーためになるなあ。
奥さんのテンプレ評価的コンテンツ - 極楽せきゅあ日記
エスケープ系はテンプレートでカバーしやすいからいろんな選択肢が出てきた感じだけど、高木さんとかが開発に関与していたセッション管理カバーしてるエンジンとかは、なかなかフォロワーが出てこないんだよなぁ。今後はあちら方面のことかな?
楽しそうだなぁ・・・いいなぁ・・・
去る9月25日に催されたPHPカンファレンス2010のテックデイ。そのプログラム中に、HASHコンサルティングの徳丸浩さんの講演「文字コードに起因する脆弱性とその対策」がありました。
http://d.hatena.ne.jp/heroween/20101026/1288108507
これを見つけた時、丁度文字コードを勉強していた事もあって、こりゃあ聴き逃せんと早速参加申し込みしようと思ったのですが、生憎その日は既に外せない別件が…。泣く泣くカンファレンスへの参加を諦めたのです。
後々、徳丸さんがご本人のブログにて資料を公開して下さり、講演内容は知る事ができたのですが、やはり直にお話を伺いたかったなぁと惜しんでいた所、ECナビの春山さん主催「第1回神泉セキュリティ勉強会」にて、同内容の講演を再演されるという情報を掴み(atndのプログラムを見つけただけですがw)、早速参加希望。晴れてお話を伺う事ができました!
再演下さった徳丸さん、場所をご提供頂いた春山さん、ご関係者の皆さんに感謝致します。有難うございました。
WordPressのセキュリティLTだったみたい。面白いぞ。ぶっちゃけてるぞ!!!資料も公開してくれているので、見ておくべき!
WordBench の勉強会でも「WordPress セキュリティー」というセミナーをやったことがありますが、今回は「どういう実装か」に的を絞ったギーク向けの内容となっています。WordPress ユーザーとしてセキュリティーにどう気をつけたらいいか、というものではありません。あしからず。
Yuriko.Net » 第1回神泉セキュリティ勉強会資料「WordPressセキュリティー」
SBBのSSL対応の仕様変更の話。
ほんとは普通にリスナーとして参加予定だったのですが、ひょんなことからLTすることになりました(^^;
第1回神泉セキュリティ勉強会でLTしました - ありがとう。また会おう。
そのあたりの経緯はスライドをみていただくとして、発表資料を晒します。
5分間のLTなのに、スライド60枚という無謀なボリュームw
脳内リハーサルでは5分ギリギリだったんですが、やはりちょっとオーバー(しかも一部端折ったのに)してしまい。。。
まぁでもある意味一番LTらしかったかと(爆)
SoftBankのSSL仕様変更で、注意ポイントのところで、「文字コード変換」というのがあります。
第1回神泉セキュリティ勉強会でLTしました - ありがとう。また会おう。
実はSoftBankの中間サーバでは、特定のケースで文字コード変換をすることがあります。
それは、出力するHTMLの文字コードが「EUC」または「ISO-2022-JP」の時で
かつ、そのHTMLから送出されるGET/POSTパラメータが、中間ゲートウェイでSJISに変換される、という仕様があり、これが2011年2月の仕様変更で動作が変わります。
中間ゲートウェイを経由しないので、それぞれの文字コード「EUC」「ISO-2022-JP」でGET/POSTパラメータがサーバ側に渡ることになります。
懇親会の席で、半分冗談で、いっそIPAが「かんたんログイン」と「DoCoMoのCookie非対応端末」を脆弱性として認定してくれないか、とか言ったんですが・・・そのくらい強制力ほしいですよね。実際。
第1回神泉セキュリティ勉強会でLTしました - ありがとう。また会おう。
もっと過激に、法律で縛れ、みたいな話もありましたけど。IT業界にも「建築基準法」的な物がいるんじゃないかと。
d:id:ichirin2501:detailも参加していたのか!w
@tranqdogに誘われたので全力で行った。
神泉セキュリティ勉強会第1回 に行ってきた - ichirin2501's diary
以下、殴り書き。まとめてない上に間違ってる可能性もあるのでご注意を。
中の人w
昨日は遅すぎる夏期休暇をいただいていたんだが、
第1回神泉セキュリティ勉強会 - blog unlearned
夜からうちの会社の人が開催しているセキュリティの勉強会にいってきた。
登壇者も一流の人で、内容もかなり良いモノでした。
春山さんの資料
以下でWebシステム開発に関して疑問に思っている点を挙げていきます. プレゼンテーションではパスワード保存の部分のみとりあげます.
第1回神泉セキュリティ勉強会資料 — 2010/10/26 第1回神泉セキュリティ勉強会用資料 v1.0 documentation
当日に向けてじわじわ書いていきます. プレゼンテーションで利用しない部分はちゃんとした記述をしないかもしれません.
疑問点を挙げるのでもやもやした感じになります
竹迫さんいつもながら170枚とかすごいなwwww
過去のハックネタを10本披露するという発表で、セキュリティ脆弱性とは仕様と実装の差で生じることが多い、攻撃コードの多態性によりブラックリスト方式では検知できない攻撃手法(防御手法)も研究されている、というお話しでした。スライドが170枚を超えていたので最後の方はちょっと早口だったかもしれません。
第1回神泉セキュリティ勉強会 | TAKESAKO @ Yet another Cybozu Labs
色々考えることが必要なことがあって現場で使うには大変そうですね・・・
自分はこの分野の知識が足りないので、内容をレポートするのはムリです。。。というわけで、感想だけ。
「第1回 神泉セキュリティ勉強会」へ行ってきた - 虎塚
徳丸さんの講演を聞いていて思ったのは(内容に対する直接的な感想ではないかもしれませんが)、自分が使っているランタイムのバージョン(マイナーバージョン)に関する脆弱性の情報は、全力で収集しなければといけないということです。PHPの5.xまではどうだとか、MySQLコネクタの5.1.7以前は動的プレースホルダを使っているとか、講演の中で出てきた言語やツールは、普段自分が使わないものでした。なので、「うわー細かー」と他人事のように感心していれば済みます。しかし、使っているものについては、当然ちゃんと把握しておかなければいけません。当たり前なんですけどね・・・難しいですよね。リアルタイムに追っていかないといけないし。
また、池田さんのライトニングトークを聞いて、ツールのセキュリティは、様々な要素の集合なんだと改めて思いました。入力の文字コード、出力の文字コード、DBの文字コード、DBからのデータの読み出し方式、各種脅威への対策・・・などなど、すべてが合わさってツールのセキュリティを構成していて、一部でもしょぼいと、全体のセキュリティが下がってしまうんですね。