次世代Webカンファレンス 2019 Security(#nwc_sec) まとめ

kura@🗻 @kura_lab

次世代Webカンファレンスきてますっ！！Securityのセッションはじまりましたっ🔐 #nwc_sec pic.twitter.com/egbdrSe2Uk

拡大

mala @bulkneets

もしなにかまずいことを喋っていたら電流を流すことができます twitter.com/yuiseki/status… #nwc_sec #nwc_all

りく(いしゅみ) @isyumi_net

ひょっとしてこの方 +メッセージの脆弱性の指摘してた方？ #nwc_sec

Teppei Sato @teppeis

インハウス3名、コンサル1名 #nwc_sec

きりえ @__kyrieleison__

Web API のセキュリティについて伺えたら嬉しい #nwc_sec

Yosuke Furukawa @yosuke_furukawa

登壇してる人たちもすごいメンツだし、タイムキープしてる人たちもすごいメンツだ。 #nwc_sec

Makio Tsukamoto @tsukamoto

久しぶりにお見掛けするmalaさんが変わってないというか、ブラックスーツになってよりらしくなってるというか、微妙にotsuneさん感。 #nwc_sec

tagomoris @tagomoris

CDNのお漏らし、アアッ #nwc_sec

azu @azu_re

bulkneets: この2社でCDNの事故ケースがあった話 #nwc_all #nwc_sec

kura@🗻 @kura_lab

SecurityのYouTubeの配信はこちら📹 youtube.com/watch?v=Y-8xis… #nwc_sec

拡大

ももたまこと @momota

CDNの0秒キャッシュ問題 #nwc_sec

azu @azu_re

bulkneets: 0秒キャッシュで他の人のレスポンスが表示されてしまうケース privateを使わないと行けないケース #nwc_all #nwc_sec

██████████████████████ @motchang

CDN のキャッシュ設定が0秒になっており、全く同じタイミングだと他人のレスポンスが表示されてしまった事故があった #nwc_sec

Teppei Sato @teppeis

#nwc_sec / CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog tech.mercari.com/entry/2017/06/…

がぶ @kazz_ogawa

CDNのリクエストおまとめ機能 #nwc_sec

おおた @ota42y

CDNでキャッシュをしない設定にしていたけど0秒間キャッシュがされていて、同時にリクエストすると他人のレスポンスが表示される…そんなのが #nwc_sec

Shoko@育休中 @_okohs

事例：CDNキャッシュしない設定にしてたつもり（0秒）が、0秒だけ（同時に来た時）キャッシュされてしまい、他人のレスポンスが表示されてしまうという脆弱性があった #nwc_sec

tagomoris @tagomoris

やらかしたときに原因と対応をきちんと公表できるのは偉い、本当にそう思う。セキュリティもだし障害とかも。 #nwc_sec

つちかず @tsuchikazu

CDNでリクエストまとめ機能なんてあるのか..確かにハマりそう… #nwc_sec

Edward Fox @EdwardKenFox

M社のCDN事故は他人事じゃないなって見ててヒヤヒヤした #nwc_sec

KazuakiM @kazuakim4tw

#nwc_sec CDNのキャッシュタイムが０秒でも、0秒のキャッシュができてしまう。

神田 佳積 @kazumiks

WebセキュリティだとWordpressとECCubeはあるあるかも。 #nwc_sec

Jun Watanabe＠rela @rela1470

CDNの設定を0秒にしたら文字通り0秒で同時アクセスのものがまとめられてしまった。こわい。 #nwc_sec

央 @sogaoh

#nwc_sec 事例の公表はとても良い方向だと思う

きりえ @__kyrieleison__

CDN の設定ミスによる漏洩事故。CDN のキャッシュを無効にしたつもりがキャッシュ0秒に。同じタイミングで来たリクエストに対してキャッシュが使用された。やりそうで怖い #nwc_sec