OWASP JAPAN Local Chapter 3rd Meeting
サイバーエージェントさんのおかげですごくクリアな音声/映像で東京-大阪の中継ができてます。 #owaspjapan
2012-10-04 18:34:49これだけクリアに音声つたわってると、ほんとに空気感を共有できる感じなのでサテライトといえどすごくいい感じになりそう。 #owaspjapan
2012-10-04 18:42:30竹迫さんの「HTTP Strict Transport Security (HSTS) について」始まります #owaspjapan #OWASP
2012-10-04 19:08:27#owaspjapan ドヤリングの紹介きたー スタバでmacbookairを触る行為。ドヤァ。広義のドヤリングはスタバじゃなくてもok。上級者はスタバにiMacを持ち込む。
2012-10-04 19:10:48#owaspjapan 「スタバでドヤ顔でWiresharkの画面を眺める人ってどうなんでしょうか」wiresharkの脆弱性をつつけばいいんじゃね?
2012-10-04 19:11:24#owaspjapan 突然のFiresheep(装飾略。2010年10月、Firefoxの拡張として公開。マウスのクリックだけでセッションハイジャックできる。
2012-10-04 19:12:08#owaspjapan Firesheepがすごかったのが、テンプレートとして用意された対象サービスが幅広かった。マウスのクリックだけでなりすましができて衝撃を与えた。
2012-10-04 19:13:06#owaspjapan 各サイトがSSL化に走った。http://t.co/LaMjeP4oも突然SSL化した。ドヤ顔で。しかしsecureフラグがたっておらず、httpでも同じクッキーを送信してた(?)ためにまだfiresheepでやられる状態だった。
2012-10-04 19:14:43#owaspjapan ブラウザのアドレスバーに「http://t.co/LaMjeP4o」と入力するだけで、実はhttp://t.co/1iLftrPA にアクセスしてしまう。アドレスバーに直接アドレスを入力するときは https:// から始めるといいですよ
2012-10-04 19:15:51#owaspjapan 今日はHTTP Strict Transport Security(HSTS)の話。HTTPヘッダにStrict-Transport-Security: ... と書く。ブラウザがそのサイトに対してHTTPS通信のみでアクセスする有効期限を秒単位で指定する
2012-10-04 19:17:03#owaspjapan HSTS未対応のサイトの場合(たとえばgoogle)、最初にhttpにアクセスしその後httpsにリダイレクト。HSTS対応サイトの場合(例えばgithub)、アドレスバーに直接いれたら直接httpsに飛ぶ
2012-10-04 19:20:35