Shibuya.pmでのIPA特別企画対談中のTL
@nipotan PGPは必須ではなくて、謎のexeファイルでやりとりする方法もありますね。そっちはもっと面倒な気もしますが……。 #shibuyapm
2010-09-30 20:23:57脆弱性をなおさないと萌え擬人化ひろみちゅタンが罵詈雑言をtDiaryに(略 #shibuyapm
2010-09-30 20:24:132008年の話だけど #shibuyapm : JPCERT/CCとの「脆弱性情報ハンドリング」の記録 http://bit.ly/c1I7g9
2010-09-30 20:24:39PGP暗号化してっていわれてすぐできる人のほうが圧倒的に少ないのに。 @nipotan: 修正したら修正完了報告書を書いて PGP 暗号化して返せってのが面倒だよね #shibuyapm
2010-09-30 20:25:07あー、ディレクターが直でやりとりしちゃって、謎 exe を転送してきたので、PGP で暗号化して返事書いたことあった! #shibuyapm
2010-09-30 20:25:10XSSの脅威は、<iframe src="//www.2ch.net"> とかのキャプチャを見せれば、わりと理解してくれたりすることも多いですよ。 #shibuyapm
2010-09-30 20:27:13うちの会社では、マークアップする皆の目の前で XSS (session hijacking) を実演して「ほら、あなたの責任で一人の人が不幸になるかも知れないってことを知っておこうね!」というのをネタでやった。デモで hijack されたのは @941 さん #shibuyapm
2010-09-30 20:27:34基本、届出者が書いたのがそのまま行ってしまううので、届出者の書き方次第で意味不明になってしまう場合がある模様ですよ。 #shibuyapm
2010-09-30 20:28:10そういえば IPA に報告したセキュリティバグで修正完了報告が来たことは一度も無いな。セキュリティバグではないと判定されて終わったのはあるけど #shibuyapm
2010-09-30 20:29:29XSSは偽フォームを表示するPoCが分かりやすいと思います……というか、不受理にされそうになったのでPoC作って送り返したことありましたけども。 #shibuyapm
2010-09-30 20:29:48開発者が脆弱性対策に悩まされないような仕組みを作っていくと、そういう仕組みを持たない既存のシステムを修正できる技術者が居なくなるので、誰かコールドスリープしておくと良いんじゃないか #shibuyapm
2010-09-30 20:29:52IPAを通すのが「連絡窓口不明」とか「複数製品共通」とかいかにも面倒な案件ばかりだからと言うのもあるけど #shibuyapm
2010-09-30 20:32:24@sbg コンタクト出来ていない場合、コンタクトできないということで取扱終了になります。数十回コンタクトしても修正されないような事例が存在します。 #shibuyapm
2010-09-30 20:33:59脆弱性じゃないが、それに近い教育をこないだ受けた(^^; RT @koba04: 免許更新の時に見せられるような悲惨なビデオ作るとか。脆弱性があったためにこんな悲惨なことに。。。 #shibuyapm
2010-09-30 20:34:30デモリッションマンの世界ではウェズリー・スナイプスが「こんにちわ!こんにちわ!」とXSS脆弱性を突きまくるので、スタローンを解凍して逮捕させる #shibuyapm
2010-09-30 20:34:37