第26回山陰ITPro勉強会のまとめ

😎あみだく @amidaku

上野さんのセッション始まってます #sitw26

ている @Tales_Tail

能動的攻撃と受動的攻撃 #sitw26

😎あみだく @amidaku

CSRFなどの受動的攻撃の場合、正規の利用者の立場を利用することができてしまう #sitw26

😎あみだく @amidaku

参加申込をいただいた方の中で欠席者は1人という驚くべき参加率。 #sitw26

だらずの酔ぉーたんぼ @gypsy_angler

最近の攻撃は愉快犯的犯行でななく、目的がはっきりしている。 #sitw26

ている @Tales_Tail

標的型攻撃の対策ってどこに取るべきなんだろ。標的に入る情報か標的からでて行く情報か #sitw26

😎あみだく @amidaku

ターゲットが普段安心して使用するサイトを改ざん　#sitw26

ている @Tales_Tail

水飲み場攻撃の踏み台にされないような対策も必要なのかな？SQLインジェクションやxss対策は当然のようにするとは思うけど… #sitw26

😎あみだく @amidaku

Webサイトの信用力を狙っている #sitw26

だらずの酔ぉーたんぼ @gypsy_angler

Webサイトの信用性が狙われている #sitw26

😎あみだく @amidaku

改ざんを防ぐために、1.最新に保つ、2.設定を確実にする、3.サポート期間を知る、4.コンテンツ更新の方法を見直す、5.アプリの脆弱性を無くす #sitw26

ている @Tales_Tail

ossなどもサポートがいつ切れるか、切れたらどうするか決めておく #sitw26

😎あみだく @amidaku

パスワードは既に死んでいる #sitw26

nishidayuya @nishidayuya

SSLの証明書を見て想定通りの接続先だと確認しても油断ならんのか #sitw26

ひげぴよ @fujiko_f_fujie

えっそうなの<MD5

😎あみだく @amidaku

8文字のレインボーテーブルが1TB程度 #sitw26

ひげぴよ @fujiko_f_fujie

ば、番号か英数字か・・・(じょうよわ)

ひげぴよ @fujiko_f_fujie

まず思いついた>アカウントロック

ひげぴよ @fujiko_f_fujie

IPで規制すると某掲示板のドメイン規制と同じ状況に

ている @Tales_Tail

アノマリーディテクション #sitw26

😎あみだく @amidaku

定期変更意味ある派、意味無い派のバトル　#sitw26

😎あみだく @amidaku

パスワード認証に変わる仕組みが求められている　#sitw26

ている @Tales_Tail

生体認証を発展させるしかないのだろうか #sitw26

ひげぴよ @fujiko_f_fujie

パスワードに代わる認証機構に需要アリ

nishidayuya @nishidayuya

上野「XSSとSQLインジェクションとコマンドインジェクションは本質的には同じこと．テキストで解釈されるべきものが実行可能なコードになっている．」 #sitw26