http://bit.ly/cTdCAM これか、ひどすぎるwww RT @changeworlds: RT @ymkz303: 新橋の加賀屋はググるべき。デイリーポータルの記事おすすめ! #devlove1020
2010-10-21 13:54:26日に日に少なくなっていく肉ごぼう・・・採算合わないんだろうか?質が落ちたりメニューから消えたりしなきゃいいんですが>< RT @quindim: 今日も肉ごぼうの量が少ないな #udon
2010-10-21 17:28:16インフラまで!かなり安いし、LB無料とかすごいな。モバゲー以外で利用したらダメなのかなw : 「モバゲークラウド」サービス開始のお知らせ http://bit.ly/aFJ4aC
2010-10-21 18:45:10現場メンバー内での初勉強会!昨日のLTの再現と、位置情報の話をしまっす! (@ 現場メンバー内勉強会!)
2010-10-21 19:07:58勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw
2010-10-21 19:12:44○○セキュリティのお話。前半はツイートOKとのことなのでつぶやきます。タグは #t_yamo_study でw
2010-10-21 19:14:28まずWebアプリ部分の対応について。脆弱性としてXSS、CSRF、セッション固定化攻撃、ブルーとフォース攻撃、DoS攻撃などに対応中。 #t_yamo_study
2010-10-21 19:15:49XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。
2010-10-21 19:16:48そのほか、SQL/コマンドインジェクション(S2JDBCで対応)、パストラバーサル(Tomcat 6.0.24以降で対応)、HTTPヘッダインジェクション(ユーザ入力値をレスポンスヘッダに含めないで対応)、ログインジェクションなどなど。 #t_yamo_study
2010-10-21 19:18:56#t_yamo_study RT @matsukaz: XSSについてはT2の機構(出力時のエスケープ)で対応。CSRFはセキュア情報更新前にパスワード入力させている。
2010-10-21 19:19:16無理すわw RT @FKU: ustでおk RT @matsukaz: 勝手にツイートしてしまおう。と思ったらシステム内部のセキュリティの話だ。これはツイートしちゃだめかもw
2010-10-21 19:19:39ありがとございます! RT @quindim: @matsukaz おおっ、おめでとう御座います!良き会になりますように〜
2010-10-21 19:20:12オープンリダイレクト(ホワイトリスト対応)、セッション維持(期限付きCookieで管理、Cookieには一時的なセッションIDを利用) #t_yamo_study
2010-10-21 19:21:45セッション維持はちょっと危ない。盗まれたらなり済ましができちゃう。今後は対応が必要になるかもしれない。 #t_yamo_study
2010-10-21 19:24:07携帯サイトでの脆弱性。非キャリアからのアクセスによるリクエスト詐称にはIPアドレス制限などで対応。 #t_yamo_study
2010-10-21 19:24:53携帯サイト → 非携帯サイト開発での注意点。リクエストを信頼してはいけない、端末児湯情報を前提としてはいけない、携帯サイトと非携帯サイトを混ぜてはいけない。いずれもキャリアゲートウェイを通らなくなると信頼できなくなる。 #t_yamo_study
2010-10-21 19:26:31その他。HTTPS通信、APIは署名付きとする、IPアドレス制限、ホスト名制限、アクセス元制限(提携先ごとに制限)、アクセスキー制限。 #t_yamo_study
2010-10-21 19:28:31セキュリティ面では、できるだけ個人情報はもたない、パスワード類は非可逆ハッシュで保持、多重チェック機構をいれる、権限管理を行う。 #t_yamo_study
2010-10-21 19:29:42