第1回神泉セキュリティ勉強会まとめ

yumano @yumano

対策はいろいろすべてを実施だ… #sinsec

matsuu @matsuu

#SinSec え？jQueryのJSONPの扱いってevalとほぼ同じなの？あとで調べる

hiroshi @mutuki

原因1.不正な文字エンコーディング。入力時点で妥当性をチェック。出力時もチェック。 #SinSec

hiroshi @mutuki

マルチバイト文字対応を充分にするとは?　ちゃんと綴りの練習をしましょうw #SinSec

yumano @yumano

データ不正はUTF8からUTF8に変換でいいんじゃね。ということらしい。 #sinsec

hiroshi @mutuki

htmlspecioalchartsの第三引数は指定する。従来はしなくてもよかったけど。 #SinSec

SATO Yozo @yoozoosato

#SinSec 宴問題w

hiroshi @mutuki

宴問題w #SinSec

nouvellelune @nouvellelune

#SinSec 宴問題w

matsuu @matsuu

#SinSec htmlspecialcharsの第三引数を指定しないのはもはや脆弱性と言ってよい

quoth @quoth

宴問題というのもあるのか。 #SinSec

hiroshi @mutuki

文字集合の変更が原因となるもの。最も確実な解決策は入り口から出口のすべての経路で文字集合を変更しないこと。 #SinSec

nao/ナオ @nao_pcap

PC･モバイル対応のサイトは注意 #SinSec

hiroshi @mutuki

UTF-8でやればいいんだけど携帯はShift_JISが多いのでその場合にはUTF-8変換をやるand気をつける。 #SinSec

nouvellelune @nouvellelune

#SinSec もう全部 Unicode でいいんじゃないかな

ダメ人間 @dameninngenn

尾骶骨チェックｗｗｗｗｗ #SinSec

matsuu @matsuu

#SinSec UTF-8ベースで、Shift_JIS（CP932）との変換はまだなんとかなるけど、これにEUC-JPまたはISO-2022-JPが絡むと化けるんだよね。マッピング問題。

yumano @yumano

尾骶骨が化けるとやばい

cutmail 𖠚旅系テスラー / テスラ旅 @cutmail

尾骶骨 #SinSec

小賀昌法 KOGA Masanori @makoga

「尾骶骨」や「つちよし」でテストしよう。 #SinSec

シラカワ ヒロユキ @shrkwh

#SinSec 尾骶骨

nouvellelune @nouvellelune

#SinSec 尾骶骨テスト、つちよしテスト

matsuu @matsuu

#SinSec 尾てい骨（ていも漢字に）はいいテスト用文字列らしい

SATO Yozo @yoozoosato

#SinSec 大変勉強になりました！

hiroshi @mutuki

今日のキーワードは「尾骶骨」w #SinSec