極楽せきゅあブログ

ときどきセキュリティ

2009-03-01から1ヶ月間の記事一覧

ちょっとした疑問のメモ

徳丸さんがコメントで「SQLインジェクションでIFRAME要素やらSCRIPT要素書き込まれたとしても、それらが発動するためには(潜在的な)XSS脆弱性が必要」と書かれていたけど、CMSとかの場合必ずしもそうとは言えないような気もするなあ。ただこの考えはまだ深…

公開授業@札幌

というわけで、週末は札幌でした。開催にあたりご協力いただいた各方面の方々には御礼申し上げますです。 札幌向けにアレンジしたネタを持って行ったわけですが、自分としてはいかに簡単に説明するか、という意味でのチャレンジもあったし、なかなか楽しめま…

ガリレオチャンネル

ガリレオチャンネル|テレビ番組|ワック 噂の「危機に瀕するネットセキュリティ〜狙われるID・パスワード〜」を録画して見ました。あいかわらず知り合い多数が出演していて面白かったなあ(笑)。 ただまぁ、30分という尺のせいなのか、「どうすりゃいいの…

発注者のためのWebシステム/Webアプリケーション セキュリティ要件書

http://脆弱性診断.jp/specifications/index.html お、出てきましたね(笑)。 って、はてな記法が通用しないんだ>日本語ドメイン↑↑ 受け入れの時、ここに挙げられている項目が要求された通りになっているかどうかをチェックする必要があると思うんだけど、…

Golden Floorの法則

本筋とは全然関係ないんだけど、 404 Blog Not Found:「王様の耳はロバの耳」とブログで言うなかれ をたまたま読んで、セキュリティ関連危機管理の鉄則「Golden Floorの法則」の中に、「漢字や固有名詞を間違え続ける営業系の人に気をつけろ」というのがあっ…

日本 1-0 バーレーン

勝ち点3を獲得できたことは大きいなあ。とても大きい。 おそらく内容を云々するのは予選突破決定後が妥当なんだろうけど、まぁサッカー好きとしてはそんなことお構いなしに、今見ている試合で展開されているプレーの質についていろいろ言いたくなるんだよね…

札幌勉強会

当日いきなり来てもおっけーなので、ぜひどうぞー。まだキャパに余裕あるようです。 http://www.cyber-u.ac.jp/information/2009/090311/index.html

札幌の天気

なんとまー、雪すか(笑)?>週末 道央の天気 - 日本気象協会 tenki.jp さすが札幌だなぁ。

ファイル名一括変換

美人時計でぶっこ抜いた閲覧時ダウンロードしたwファイルの一括リネームは、 FNCVTの詳細情報 : Vector ソフトを探す!←このツールで以下のような関数を使って、正規表現っぽい変換をかければおっけーでした。 \chgmstr<<f>:"^*_","">.\chgmstr<<e>:"$",".jpg">ヘ</e></f>…

サイバー大学公開授業@札幌

「セキュリティ対策、重くないですか?」のアジェンダでうす。 組織的なセキュリティ対策と、陥りがちなトラップポイント 情報の資産価値の話 リスク分析と管理の話 ライフサイクル よくある漏洩事例の原因と漏洩経路 ルール違反の背景と潜在的な敵 リテラシ…

アンチ・フォレンジックスな情報窃盗事件

いろいろ話を練ったりしていたら、アンチ・フォレンジックス的情報窃盗事件のストーリーを思いついた。 久々アクセス探偵シリーズにしてみるかな(笑)?

WBC

優勝おめでとう>日本チーム 3-1でリードしていた日本は、8回岩隈のボールが高くなったところを2塁打を足がかりに犠牲フライで1点返され、9回チャンスを逸した後、8回から登板の杉内がいったんマウンドにのぼったが、相手が代打を出してきたことでダルビッシ…

最凶ツートップ続編の予告

とか書いて自分に締め切りというかプレッシャーをかける(笑)。 いろいろ考察&調査していると興味深いことがわかってきたので*1、それをネタにブログ、もしくはどこかで記事を書こうと準備しているでます。書き物ってできるときにやっとかないとなー。 *1:…

札幌勉強会

記事になったにょろ。 http://www.hokkaido-np.co.jp/news/education/154291.html

WBC

決勝韓国ですか。っていうか、アメリカってピッチャーが今一過ぎるなあ。

札幌資料作成中

札幌向け資料を作っているんだけど、なんか改めてのリスク分析まとめ、というところになりそうですね。 タイトルは「セキュリティ対策、重くないですか?」。んで現状課せられている対策、手順が重いか重くないか、結局そういう評価って主観的なものだけど、…

サイバー大学公開授業@札幌

順調に埋まってきているようです。お早めにどうぞー。 http://www.cyber-u.ac.jp/information/2009/090311/index.html 特定の科目をピンポイントで履修できる科目履修生とかが増えてくれるといいなあ。 今実は5月目処で次の勉強会企画してるんですが、今度は…

シーサート

このシリーズ興味深く読んでるけど、「シーサート」という言い方が何か微笑ましいんだよな。 情報漏えいの発生――その時になすべきことは? (1/2) - ITmedia エンタープライズ

SQLとXSSは最凶ツートップ?

世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT これ良い記事だなあ。最近なんかセキュリティ業界のあおりすぎが鼻につく気がしていたんだよね。まあその片棒を思いっきり担いでいたり…

再放流に仮処分

http://www-06.ibm.com/jp/news/2009/03/1301.html これまで再放流という愉快犯の上塗りみたいな人たちには手が及ばなかったけど、これでちょっとそういう芽も出てきたかな。

インザーギ300点

- UEFA.com インザーギが好きなプロ選手多いけど、あっしもあの芸術的とも言える抜けだしの職人芸は大好きだなあ。ディフェンスとの駆け引きを見ているだけでも愉しめるもんなあ。

指南書

セキュリティ対策が分からない中小企業にアドバイス、IPAが指南書提供 - ITmedia エンタープライズ 同ガイドラインは、「5分でできる自社診断シート」「中小企業における組織的な情報セキュリティ対策ガイドライン」「委託関係における情報セキュリティ対策…

スパム多発中

ミクシで同じ文面のスパムが多発しているようですね。ってあっしのところに多数届いている、ということに過ぎないのかも知れないけど。 件名:はじめまして( ゚ー゚)/ メッセージ本文: はじめまして[m:49] なんとなく気になってしまったのでメッセージを送っち…

まっちゃ139

久しぶりに参加することにしますた。仕事もあるんだけど、用事にかこつけて(笑)。 デフォでポチったらLT喋らないモードになったけど、もし誰もいないようだったら目覚ましあたりでこそっと喋ってみようかなヽ(´ー`)ノ

長崎合宿のネタ

神戸のCTFがけっこうイケてたみたいなので、長崎?合宿も負けずにいろいろ仕込まないとなー。 テーマはなんとなくこんな感じではどうでしょう?>誰と無く 「Packet & IR、A Hard Day's Nite」 合宿のメインはやぱ夜だしねヽ(´ー`)ノ

セキュ蕎麦終了

そもそも地元の電車が止まるというところから風雲急を告げていたわけですが、新幹線も30分遅れて現地はけっこうな雨、という順調な立ち上がり(笑)。ちょっと足を伸ばしてくろつぼというイケテル店を口開けに、クルミ蕎麦をいただいて勉強会突入。 内容はと…

セキュ蕎麦

のっけから地元電車が1ルートをのぞきほぼ壊滅。やっとの思いで東京着いたら長野新幹線も30分遅れ。幸先良いなー(笑)。

サイバー大勉強会続報

「公開授業」ってことになったらしいけど(笑)。 資料の元ネタをさっきまで作っていたんだけど、事例バリバリになっちゃった(笑)。事例が具体的であればあるほどわかりやすいと思うし、それはそれで良いと思うんだけど、さすがに固有名詞とかはマスクしな…

セキュアなWebアプリケーション開発

セキュアなWebアプリケーション開発作者: ジェフフォリスタル,ジュリートラクスラー,Jeff Forristal,Julie Traxler,倉持浩明,影山徹哉,白井雄一郎出版社/メーカー: ソフトバンククリエイティブ発売日: 2002/08メディア: 単行本購入: 2人 クリック: 3回この商…

シークレット・ゲスト(笑)

あーあ。あのゲストがマジで呼ばれてたら、もっとおもしろかっただろうに(笑)。 http://mainichi.jp/life/electronics/news/20090312mog00m100054000c.html