1. まとめトップ

2015年4月3日のtwitterセキュリティクラスタ

2015年4月3日のtwitterセキュリティクラスタです。セキュリティの世界も壁ドンですか。

更新日: 2015年04月04日

1 お気に入り 1153 view
お気に入り追加

この記事は私がまとめました

yousukezanさん

今日から原宿の駅前看板にパスワード強化のでっかいポスターが掲示されたようです。

本日から、原宿駅の大型看板17面に「パスワード強化」をテーマにした“胸キュン”マンガポスターを展示しています! 原宿駅にお寄りの際は、ぜひご覧ください。(駅ホームからご覧いただけます) #胸キュン #IPA pic.twitter.com/r9yQloBl6Q

徹夜明けですが寝たら起きれそうにないので原宿駅まで来てみた! 僕らがパスワード適当に設定して使い回したりするから、IPAもターゲット絞ってたたみかけてきたよ( ; ゜Д゜) …きっと企画をした人も徹夜明けのテンションだったのでは…… pic.twitter.com/45mtXutJx4

原宿駅にパスワードの使い回し防止を呼び掛ける恋愛マンガ風看板があるらしいけど、ギャグマンガ一歩手前だと思う。 pic.twitter.com/SWPzHDhVGX

“@nhk_news: パスワードに注意を 原宿に漫画の巨大看板 nhk.jp/N4Ia4D7O #nhk_news” 文章がシュール。 特に壁ドンの解説が丁寧で笑った。

「お前にそんな単純なパスワードは似合わないよ」 → ストーカー規制法及び不正アクセス禁止法違反で逮捕 Reading:パスワードに注意を 原宿に漫画の巨大看板 NHKニュース nhk.jp/N4Ia4D7O

原宿駅にある「情報処理推進機構」の看板は俺なら こう言うと思う pic.twitter.com/iG8TpxP8AU

その他に気になったことはこのあたり。

JS自動レビューツール”jswatchdog”を公開しました | Cybozu Inside Out | サイボウズエンジニアのブログ developer.cybozu.co.jp/tech/?p=8733 「知らずに脆弱性を作り込むことを避けるため、XSS の可能性がある箇所にも警告を表示」素敵だ。

jswatchdog、watchdogっていう名称が何となく違う感と、JSPrimeなのでXSSの警告にけっこう漏れがある。Function(location.hash.substring(1))()とか。

JSを許しつつXSSを防いで安全に動かす、の線引きって難しい。 iframe sandbox=allow-scriptsでスクリプト許可しつつ別オリジンに分離して、必要なデータだけWeb Messagingで渡してやればいいのかなとも思うけど、構造が複雑になりすぎて破綻しそう。

@hasegawayosuke 同じような設計を前にしたのですが、Web Messagingにすると必然すべてのやりとりが非同期になるので、親側もsandbox側もコードが複雑度が上がっちゃうんですよね。。

@teppeis ですよね。常時データをやり取りするようなもの、特にDOM操作が入るものだと厳しいと思います。このあたり、うまく設計できるモデルなりフレームワークなりが確立すると使い勝手よくなるなと思ってるんですけどね。

自分のサイトがハッキングされた場合にやっておくべきことが動画付きで分かりやすくまとめられている(英語)。やっぱりGoogleってすごいなぁー。 google.com/webmasters/hac…

TrueCrypt 監査するっていうの終わったんか。サマリだけ見てみると Total High severity issues --> 2 ってこわくない?

oO( high severity 問題のうち後者は無条件で問題になりうる一方、前者はボリューム生成時に何らかの攻撃コードが挟まるなどすることが前提条件になる。 )

oO( しかし、コード監査でちゃんとサイドチャネル攻撃まで検査するというのは良い感じ。 )

あ、severity high の脆弱性のうち後者、もしサイドチャネル攻撃を受けるのが起動後のみである場合、AES-NI を使ってるなら起動中に鍵を読まれることは無いっぽいね。

HTTP接続を確率してからTCPのTTLを1つずつ増やす特別なtracertを開発しBaiduへの要求がどこでMITM攻撃されているか確認。中国内のChina Unicomのサーバで行われている。グレートファイアウォールも同社の施設だ。blog.erratasec.com/2015/04/pin-po…

エネルギー企業を狙い打ちしたマルウェアが発見された。ターゲットにExcelファイルを送りActiveXの脆弱性を利用してPCに侵入。データを集め攻撃者に一旦送信し有意なターゲットであるか確認。攻撃に値しなければ何もしないため発見が難しいextremetech.com/internet/20245…

モジラはFirefox 37にてopportunistic encryptionをデフォルトでオンに。接続サーバの正当性を検査しないが通信は暗号化するものでHTTP2.0の一部。OEはより安全なHTTPS採用を遅らせるとの批判も存在 arstechnica.com/security/2015/…

GoogleがマルウェアにやられたAndroidは全体の1%に過ぎずGoogle Play Storeのみを使っているユーザに絞れば全体の0.15%に過ぎないと主張。端末をロックする脅迫ソフトが急激に増えていると警告theregister.co.uk/2015/04/03/and…

セキュリティ・ミニキャンプ in 新潟 2015 security-camp.org/minicamp/niiga… / 今日誕生日のisidaiせんせいも来るよ!

SPREADのことが紹介されました。 紙媒体では熊本日日新聞、山陽新聞、福井新聞、室蘭民報などでも紹介いただきました。 セキュリティ推進協が「サポーター」制度 ネットトラブル相談身近に - Sankei Biz... fb.me/3LgEcME1i

1 2