偶然見かけた勉強会的な何か

なんかよくわからないけどLTっぽいので善意でLightningTogering 続きを読む
1
Masakazu Matsushita @matsukaz

美味しいお魚食べにいこっと。

2010-10-21 12:26:37
Masakazu Matsushita @matsukaz

魚な気分でしまほっけ焼き。 (@ いな泉) http://4sq.com/9s0RLt

2010-10-21 12:38:20
Masakazu Matsushita @matsukaz

http://bit.ly/cTdCAM これか、ひどすぎるwww RT @changeworlds: RT @ymkz303: 新橋の加賀屋はググるべき。デイリーポータルの記事おすすめ! #devlove1020

2010-10-21 13:54:26
Masakazu Matsushita @matsukaz

日に日に少なくなっていく肉ごぼう・・・採算合わないんだろうか?質が落ちたりメニューから消えたりしなきゃいいんですが>< RT @quindim: 今日も肉ごぼうの量が少ないな #udon

2010-10-21 17:28:16
Masakazu Matsushita @matsukaz

インフラまで!かなり安いし、LB無料とかすごいな。モバゲー以外で利用したらダメなのかなw : 「モバゲークラウド」サービス開始のお知らせ http://bit.ly/aFJ4aC

2010-10-21 18:45:10
Masakazu Matsushita @matsukaz

現場メンバー内での初勉強会!昨日のLTの再現と、位置情報の話をしまっす! (@ 現場メンバー内勉強会!)

2010-10-21 19:07:58
きんちゃん@愛と情熱のコーポレートエンジニア @quindim

@matsukaz おおっ、おめでとう御座います!良き会になりますように〜

2010-10-21 19:11:01
Masakazu Matsushita @matsukaz

勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw

2010-10-21 19:12:44
Masakazu Matsushita @matsukaz

○○セキュリティのお話。前半はツイートOKとのことなのでつぶやきます。タグは #t_yamo_study でw

2010-10-21 19:14:28
Masakazu Matsushita @matsukaz

まずWebアプリ部分の対応について。脆弱性としてXSS、CSRF、セッション固定化攻撃、ブルーとフォース攻撃、DoS攻撃などに対応中。 #t_yamo_study

2010-10-21 19:15:49
Masakazu Matsushita @matsukaz

XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。

2010-10-21 19:16:48
Masakazu Matsushita @matsukaz

そのほか、SQL/コマンドインジェクション(S2JDBCで対応)、パストラバーサル(Tomcat 6.0.24以降で対応)、HTTPヘッダインジェクション(ユーザ入力値をレスポンスヘッダに含めないで対応)、ログインジェクションなどなど。 #t_yamo_study

2010-10-21 19:18:56
Masakazu Matsushita @matsukaz

#t_yamo_study RT @matsukaz: XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。

2010-10-21 19:19:16
Masakazu Matsushita @matsukaz

無理すわw RT @FKU: ustでおk RT @matsukaz: 勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw

2010-10-21 19:19:39
Masakazu Matsushita @matsukaz

ありがとございます! RT @quindim: @matsukaz おおっ、おめでとう御座います!良き会になりますように〜

2010-10-21 19:20:12
Masakazu Matsushita @matsukaz

オープンリダイレクト(ホワイトリスト対応)、セッション維持(期限付きCookieで管理、Cookieには一時的なセッションIDを利用) #t_yamo_study

2010-10-21 19:21:45
Masakazu Matsushita @matsukaz

自分にRTしますたw RT @FKU: @matsukaz ハッシュタグ忘れてう!!

2010-10-21 19:22:05
Masakazu Matsushita @matsukaz

セッション維持はちょっと危ない。盗まれたらなり済ましができちゃう。今後は対応が必要になるかもしれない。 #t_yamo_study

2010-10-21 19:24:07
Masakazu Matsushita @matsukaz

携帯サイトでの脆弱性。非キャリアからのアクセスによるリクエスト詐称にはIPアドレス制限などで対応。 #t_yamo_study

2010-10-21 19:24:53
Masakazu Matsushita @matsukaz

携帯サイト → 非携帯サイト開発での注意点。リクエストを信頼してはいけない、端末児湯情報を前提としてはいけない、携帯サイトと非携帯サイトを混ぜてはいけない。いずれもキャリアゲートウェイを通らなくなると信頼できなくなる。 #t_yamo_study

2010-10-21 19:26:31
Masakazu Matsushita @matsukaz

その他。HTTPS通信、APIは署名付きとする、IPアドレス制限、ホスト名制限、アクセス元制限(提携先ごとに制限)、アクセスキー制限。 #t_yamo_study

2010-10-21 19:28:31
Masakazu Matsushita @matsukaz

セキュリティ面では、できるだけ個人情報はもたない、パスワード類は非可逆ハッシュで保持、多重チェック機構をいれる、権限管理を行う。 #t_yamo_study

2010-10-21 19:29:42
1 ・・ 4 次へ