WASForumまとめ

ハニーポッター @k_morihisa

お菓子タイムきたああああ #wasf

@nsiena

「ログイン認証の欠陥事例。DNS rebiding は古い問題 (199x)。ドコモ公式発表では、一般向けには対策などを提供していない。曰「Ajax などについては皆が知ってるはず」。 #wasf

@nsiena

「しかし、かんたん認証とかは、普通の世界にない独自のもの。知っているという前提はおかしい。 #wasf

Hardening Project @WASForum

スイーツ（笑 #wasf

'ash' - T.ASHIDA @ash7

「かんたんログイン」のセキュリティ脆弱性の問題は日本だけ。しかもキャリア側も情報開示していない。DNS Rebindingについての議論は前からあるが。 cf. JVN#87730223,サイボウズOffice、JVN#06874657 OpenPNE #wasf

rryu🐋 @rryu2010

クッキーではないのか。 #wasf

Hardening Project @WASForum

本当は休憩時間に回す予定でしたが、むしろ今がベストかと（ｗ #wasf

ゆきのぶ @yukinobu

飴ゲット #wasf http://twitpic.com/1pw7tf

拡大

Katsu Tatsu @kthrtty

IPアドレス制限と、ケータイID抽出が別ロジックになってたらまずいよねー。そりゃそうだコンテキスト毎に垂直分割すべきだ #wasf

'ash' - T.ASHIDA @ash7

飴ちゃん配布。 #wasf

Hardening Project @WASForum

一人一本以上ありますから、遠慮なさらず。むしろ食べきってください #wasf

KOGAWA Masaki @kogawam

そう言えばwasf2008でGREEの人が携帯の話してませんでしたっけ #wasf

Nat Sakimura/崎村夏彦 @_nat

契約者固有ID, 端末固有IDは両方とも bearer token。IP Address 制限したところで、公開情報で認証なんかできないということを認識すべきだと思う。 #wasf

Naohiro Fujie @phr_eidentity

いいなぁ。行きたかったです。。 RT @shita: また、仲間はずれだ・・・ orz RT @cchanabo: おー、また濃いスピーカー陣ですねぇ・・・。　RT @Akira_Murakami: 皆品川　http://wasforum.jp/conf2010/program/

Hardening Project @WASForum

お楽しみに RT @rryu2010 クッキーではないのか。 #wasf

@nsiena

「脆弱でない実装は簡単ではない。DNS rebiding 対策をしているだけでは十分ではない。IPアドレス制限と、ケータイIDチェックを個別に行なうと、有りえない組合せでも通過してしまう。 #wasf

Stacy @kuroneko_stacy

青いキャンディーを選んだ人は覚悟が必要。舌が青くなります（笑）#wasf

sokokame @sokokame

簡単ログインこわいなぁ #wasf

Hardening Project @WASForum

@march0503 筑波の学生さん、結構いらっしゃってますよ

Katsu Tatsu @kthrtty

Twitter認証もBearer Token? RT @_nat: 契約者固有ID, 端末固有IDは両方とも bearer token。IP Address 制限したところで、公開情報で認証なんかできないということを認識すべきだと思う。 #wasf

Hardening Project @WASForum

@man5e 飛んでますよー。ただし商用だけど。

Hardening Project @WASForum

@kogawam はい、藤本さんがしてくださいました。 #wasf

@nsiena

「EMnetプロキシサーバの挙動: HTTP ヘッダに X-EM-UID が既にある場合は、本物で上書きして成りすまし防止。それ以外のヘッダは関知しない。他社のケータイID を削除するのは容易ではない。→ ウェブサイト側の脆弱性か #wasf

tpdn @KIM_TPDN

「実際に動いてすぐ使える」はありえない　#wasf

Nat Sakimura/崎村夏彦 @_nat

mailwebservice.softbank.ne.jp + sbwapproxy.softbank.ne.jp:8080 を経由したアタック。 #wasf