すみだセキュリティ勉強会 2015#1

ほよたか @takahoyo

安定のpiyokangoさんのまとめ #sumida_sec

dahlia @dahlia_cocoa

FREAKってどんな脆弱性だっけ？ 中間者攻撃で弱い暗号でSSL通信してた。わざと弱い暗号をつけて輸出していた頃のものがそのまま残ってたのが原因 #sumida_sec

dahlia @dahlia_cocoa

安定のpiyokango氏 #sumida_sec

とある診断員 @tigerszk

安心安定のpiyologですね。僕もいつも拝見してますw #sumida_sec

shimapee @shimapee

piyokango氏のまとめ記事だね。 #sumida_sec

dahlia @dahlia_cocoa

弱い鍵で暗号化してるもんだから、秘密鍵をサクッと解読できちゃう #sumida_sec

Rintaro @_rintaro_f

これだとクライアント側に証明書インストールさせなきゃいけない手間がなくなるんだよな #sumida_sec

yakumo3 @yakumo3

開発面での知見を得るアプローチはすごく興味がありますね。 #sumida_sec

dahlia @dahlia_cocoa

脆弱性情報から得られるもの #sumida_sec

dahlia @dahlia_cocoa

脆弱性を入れ込まないようにするために脆弱性情報を使えないかな？ #sumida_sec

dahlia @dahlia_cocoa

公開された脆弱性情報からプログラミング上で注意すべきポイントを把握する #sumida_sec

abend @number3to4

既知の脆弱性情報をもとに、セキュアコーディングに生かすという考え方、素晴らしいと思います。

dahlia @dahlia_cocoa

こういうの、開発する側になると結構大事だよなー #sumida_sec

Rintaro @_rintaro_f

ライブコーディングｋｔ #sumida_sec

dahlia @dahlia_cocoa

すでにログを取ったものが #sumida_sec

dahlia @dahlia_cocoa

コミットログを見てみよう #sumida_sec

dahlia @dahlia_cocoa

なんか直されてる #sumida_sec

abend @number3to4

脆弱性の詳細を知りたければ、ソースをdiffるのが一番いいよね。

dahlia @dahlia_cocoa

diffを見るとなにやったか、何が良くなかったかよくわかるなあ #sumida_sec

dahlia @dahlia_cocoa

過去の互換性を残しすぎるのも問題なのかなあ #sumida_sec

dahlia @dahlia_cocoa

そびえ立つ○ #sumida_sec

shimapee @shimapee

openSSLはそびえ立つクソｗｗｗ #sumida_sec

yakumo3 @yakumo3

じゃんけん大会！？ #sumida_sec

dahlia @dahlia_cocoa

恒例の(？)じゃんけん大会 #sumida_sec

とある診断員 @tigerszk

恒例のジャンケン大会きました！ #sumida_sec