Shibuya.pmでのIPA特別企画対談中のTL
-
- いいね!0
水無月ばけら
@bakera
@nipotan PGPは必須ではなくて、謎のexeファイルでやりとりする方法もありますね。そっちはもっと面倒な気もしますが……。 #shibuyapm
2010-09-30 20:23:57
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
脆弱性をなおさないと萌え擬人化ひろみちゅタンが罵詈雑言をtDiaryに(略 #shibuyapm
2010-09-30 20:24:13
ひろせ31
@hirose31
2008年の話だけど #shibuyapm : JPCERT/CCとの「脆弱性情報ハンドリング」の記録 http://bit.ly/c1I7g9
2010-09-30 20:24:39
Taikiman
@taikimen
PGP暗号化してっていわれてすぐできる人のほうが圧倒的に少ないのに。 @nipotan: 修正したら修正完了報告書を書いて PGP 暗号化して返せってのが面倒だよね #shibuyapm
2010-09-30 20:25:07
nipotan
@nipotan
あー、ディレクターが直でやりとりしちゃって、謎 exe を転送してきたので、PGP で暗号化して返事書いたことあった! #shibuyapm
2010-09-30 20:25:10
Yosuke HASEGAWA
@hasegawayosuke
XSSの脅威は、<iframe src="//www.2ch.net"> とかのキャプチャを見せれば、わりと理解してくれたりすることも多いですよ。 #shibuyapm
2010-09-30 20:27:13
nipotan
@nipotan
うちの会社では、マークアップする皆の目の前で XSS (session hijacking) を実演して「ほら、あなたの責任で一人の人が不幸になるかも知れないってことを知っておこうね!」というのをネタでやった。デモで hijack されたのは @941 さん #shibuyapm
2010-09-30 20:27:34
水無月ばけら
@bakera
基本、届出者が書いたのがそのまま行ってしまううので、届出者の書き方次第で意味不明になってしまう場合がある模様ですよ。 #shibuyapm
2010-09-30 20:28:10
masa141421356
@masa141421356
そういえば IPA に報告したセキュリティバグで修正完了報告が来たことは一度も無いな。セキュリティバグではないと判定されて終わったのはあるけど #shibuyapm
2010-09-30 20:29:29
水無月ばけら
@bakera
XSSは偽フォームを表示するPoCが分かりやすいと思います……というか、不受理にされそうになったのでPoC作って送り返したことありましたけども。 #shibuyapm
2010-09-30 20:29:48
伏原 幹
@__kan
開発者が脆弱性対策に悩まされないような仕組みを作っていくと、そういう仕組みを持たない既存のシステムを修正できる技術者が居なくなるので、誰かコールドスリープしておくと良いんじゃないか #shibuyapm
2010-09-30 20:29:52
masa141421356
@masa141421356
IPAを通すのが「連絡窓口不明」とか「複数製品共通」とかいかにも面倒な案件ばかりだからと言うのもあるけど #shibuyapm
2010-09-30 20:32:24
水無月ばけら
@bakera
@sbg コンタクト出来ていない場合、コンタクトできないということで取扱終了になります。数十回コンタクトしても修正されないような事例が存在します。 #shibuyapm
2010-09-30 20:33:59
iWA
@vmi_jp
脆弱性じゃないが、それに近い教育をこないだ受けた(^^; RT @koba04: 免許更新の時に見せられるような悲惨なビデオ作るとか。脆弱性があったためにこんな悲惨なことに。。。 #shibuyapm
2010-09-30 20:34:30
ǝunsʇo ıɯnɟɐsɐɯ / メタバース炎上対策専門家
@otsune
デモリッションマンの世界ではウェズリー・スナイプスが「こんにちわ!こんにちわ!」とXSS脆弱性を突きまくるので、スタローンを解凍して逮捕させる #shibuyapm
2010-09-30 20:34:37