まとめの限定公開に「リンク限定」が追加されました。URLを伝えてまとめを共有しよう!

偶然見かけた勉強会的な何か

なんかよくわからないけどLTっぽいので善意でLightningTogering 続きを読む
1044view 7コメント
1
Masakazu Matsushita @matsukaz
美味しいお魚食べにいこっと。
Masakazu Matsushita @matsukaz
魚な気分でしまほっけ焼き。 (@ いな泉) http://4sq.com/9s0RLt
Masakazu Matsushita @matsukaz
http://bit.ly/cTdCAM これか、ひどすぎるwww RT @changeworlds: RT @ymkz303: 新橋の加賀屋はググるべき。デイリーポータルの記事おすすめ! #devlove1020
Taku YAJIMA @quindim
今日も肉ごぼうの量が少ないな #udon
Masakazu Matsushita @matsukaz
日に日に少なくなっていく肉ごぼう・・・採算合わないんだろうか?質が落ちたりメニューから消えたりしなきゃいいんですが>< RT @quindim: 今日も肉ごぼうの量が少ないな #udon
Masakazu Matsushita @matsukaz
インフラまで!かなり安いし、LB無料とかすごいな。モバゲー以外で利用したらダメなのかなw : 「モバゲークラウド」サービス開始のお知らせ http://bit.ly/aFJ4aC
Masakazu Matsushita @matsukaz
現場メンバー内での初勉強会!昨日のLTの再現と、位置情報の話をしまっす! (@ 現場メンバー内勉強会!)
Taku YAJIMA @quindim
@matsukaz おおっ、おめでとう御座います!良き会になりますように〜
Masakazu Matsushita @matsukaz
勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw
Masakazu Matsushita @matsukaz
○○セキュリティのお話。前半はツイートOKとのことなのでつぶやきます。タグは #t_yamo_study でw
Masakazu Matsushita @matsukaz
まずWebアプリ部分の対応について。脆弱性としてXSS、CSRF、セッション固定化攻撃、ブルーとフォース攻撃、DoS攻撃などに対応中。 #t_yamo_study
Masakazu Matsushita @matsukaz
XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。
Masakazu Matsushita @matsukaz
そのほか、SQL/コマンドインジェクション(S2JDBCで対応)、パストラバーサル(Tomcat 6.0.24以降で対応)、HTTPヘッダインジェクション(ユーザ入力値をレスポンスヘッダに含めないで対応)、ログインジェクションなどなど。 #t_yamo_study
Masakazu Matsushita @matsukaz
#t_yamo_study RT @matsukaz: XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。
Masakazu Matsushita @matsukaz
無理すわw RT @FKU: ustでおk RT @matsukaz: 勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw
Masakazu Matsushita @matsukaz
ありがとございます! RT @quindim: @matsukaz おおっ、おめでとう御座います!良き会になりますように〜
Masakazu Matsushita @matsukaz
オープンリダイレクト(ホワイトリスト対応)、セッション維持(期限付きCookieで管理、Cookieには一時的なセッションIDを利用) #t_yamo_study
Masakazu Matsushita @matsukaz
自分にRTしますたw RT @FKU: @matsukaz ハッシュタグ忘れてう!!
Masakazu Matsushita @matsukaz
セッション維持はちょっと危ない。盗まれたらなり済ましができちゃう。今後は対応が必要になるかもしれない。 #t_yamo_study
Masakazu Matsushita @matsukaz
携帯サイトでの脆弱性。非キャリアからのアクセスによるリクエスト詐称にはIPアドレス制限などで対応。 #t_yamo_study
Masakazu Matsushita @matsukaz
携帯サイト → 非携帯サイト開発での注意点。リクエストを信頼してはいけない、端末児湯情報を前提としてはいけない、携帯サイトと非携帯サイトを混ぜてはいけない。いずれもキャリアゲートウェイを通らなくなると信頼できなくなる。 #t_yamo_study
Masakazu Matsushita @matsukaz
その他。HTTPS通信、APIは署名付きとする、IPアドレス制限、ホスト名制限、アクセス元制限(提携先ごとに制限)、アクセスキー制限。 #t_yamo_study
Taku YAJIMA @quindim
最近はうどん好きですよ。 #udonlove
Masakazu Matsushita @matsukaz
セキュリティ面では、できるだけ個人情報はもたない、パスワード類は非可逆ハッシュで保持、多重チェック機構をいれる、権限管理を行う。 #t_yamo_study
残りを読む(61)

コメント

F5 2019 Rebuild @FKU 2010年10月21日
ハッシュタグ以外も善意で拾う
F5 2019 Rebuild @FKU 2010年10月21日
流れた止まったようだ
F5 2019 Rebuild @FKU 2010年10月21日
増えてたのでbot的に追加
F5 2019 Rebuild @FKU 2010年10月21日
脚色、意外と数少ないですね。
F5 2019 Rebuild @FKU 2010年10月25日
関連する商品を追加しておきました。重要ですね。
ログインして広告を非表示にする
ログインして広告を非表示にする