雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|

2005-12-08 Internet Week 2005 [長年日記]

安全なWebアプリの鉄則2005

復習あり、新しい話ありで充実した内容でした。ただ、時間配分が…Cookie固定の話題については、高木さんの発表とは別に、某言語の標準ライブラリで、サーバがセッションIDを発行する前にクライアントからセッションIDを渡されると、それを採用してしまうという問題があったのを思い出しました。

あと、まぎらわしくないドメイン名を使うという指摘もありましたが、業者が自分のドメインに対してそうするのは当然として、悪意のある第3者がまぎらわしいドメインを勝手に取得することについては防ぎようがないよなあと思ったり。さらにそのドメインで、夜のBoFで星澤さんが発表したような、警告の出ない証明書を取得されたらどうするのかというのは、前にも指摘しましたが、大きな問題だよなあと改めて感じました。

ネット事業の法的リスク

これは今の仕事と見事に絡んでいて、非常にためになるセッションでした。法律の話から始まり、個人情報の漏洩が起きてしまったときの対処の話、著作権の話、ECサイトと法律の話と続き、メインとして、いわゆるプロバイダにおいて、自社のユーザーが違法情報を公開している可能性があるときに、どういうリスクがありどういった対処をすべきかという話でした。最後のやつは違法情報媒介というそうです。

[SSL] せきゅめもBoF

セキュリティホールmemo のBoF。

1発目はオライリーの方による技術系出版の現状について。オライリーから萌え本を出すことを一瞬だけ考えたが、提案する勇気はなかったというお話に妙に納得。

2発目は星澤さんのフィッシングにかんするプレゼン。さまざまな方法の紹介の中に、高木さんの項で触れた正規の証明書を取得したフィッシングサイトの話もありましたが、会場では特に反応なし。星澤さんも認証局側の問題だと思うと言っただけで流していましたが、例えば、QuickSSLとかは、admin@【ドメイン名】にメールが届きさえすれば、証明書を発行しますということを堂々と書いています。本当にそれ以外に確認作業があるのかどうかは、実際に証明書を入手してみないと分かりませんが、ほとんど確認なしで証明書を乱発する認証局が存在すると、今のWebセキュリティの枠組みが根本から崩れかねないと思うのですが、みんなスルーしているところを見ると、私が何か勘違いしてるのかなぁ。

3発目はアンプの話。だと何も分かりませんね。ある手法を使うと、パケットを増幅することができ、サーバへの攻撃に応用できるというお話。帰ったら自分のところの設定を見直さないと。

ネット環境

会場には無線LANがあり、今いるホテルも無料で有線LANがあるので、いつもと変わらない状態です。Web巡回に関しても、FEEDBRINGERの設定が終わった後だったのが幸いして、自宅にいる時とまったく同じ状態で使えるのが非常に嬉しい。

[SSL] 追記

まさに狙ったかのように、CNET JAPANに389万件のドメイン名が虚偽または不完全な情報を使って登録されていたというニュースが。記事の中には

登録ドメイン名全体の5.14%に相当する231万件のドメイン名が、「明らかに、そして意図的に」虚偽の情報のもとで登録されていたという
という記述もあります。