「OWASP Kyushu Local Chapter Meeting 2nd」の実況ツイートまとめ
- takesi_yosimura
- 1372
- 0
- 0
- 0
この裁判例のキモ[受注側]! ・経産省やIPAの基礎にして、過失、重過失の判断を行っている。 →少なくとも、基本的対策として求められているところは、契約に無くても最低限の技術水準にあるものとして、対処しておくべき ※例外あり #owaspkyushu
2015-06-13 15:12:59マイナンバー関連は、”望ましい”ではなくて、”やれ”とか”やるな”なので、注意が必要。 #owaspkyushu
2015-06-13 15:14:09発注者側は? ・流出対策費のような経費は認められる ・売上損失のようなものは認められない ・最悪な場合は、受注側が休廃業してしまったようなケース。こうなると裁判しても取り返せない。 #owaspkyushu
2015-06-13 15:16:50発注者も勉強が必要 ・特にマイナンバー法の施行で、抽象零細企業も、情報セキュリティに対する関心を今後持たなければならなくなる ・その後は個人情報保護法で5000件要件が撤廃されることで、こちらも関心を払わなければならなくなる #owaspkyushu
2015-06-13 15:22:57法律やガイドラインで書いていなくても、認証精度の上で書かれているものもある・・・ ”顧客が期待する!!” #owaspkyushu
2015-06-13 15:24:42まとめのまとめ ・結果(裁判例)がどうなるかも大切 ・結果からさかのぼって行うセキュリティ ・法的な考え方もまた、セキュリティには大切な知見。 ・逆に法的処理にも技術の知見が必要 #owaspkyushu
2015-06-13 15:26:35蛇足な問題提起 ・もしかして:既知のウイルスへの対策を怠って感染して他人に損害を阿賀得たらウイルス対策怠った責任が回ってくるのかも??? ・もしかして:既知の脆弱性でのサイト改ざんで他人に被害与えたら・・・? #owaspkyushu
2015-06-13 15:31:14CSRFの定義の話 Cross Site Request Forgeries Webにおける攻撃手法の一つ・・・・・・・・ 文字だと分かりにくい。 #owaspkyushu
2015-06-13 16:09:49一番最悪のケースを想定 ・メールアドレスがログインID ・メールアドレスを変更時に新しいメールアドレスに通知が行く ・「パスワードを忘れた場合」ではリセットパスワードがメールに届く。 #owaspkyushu
2015-06-13 16:14:04仮にメールアドレス変更のリクエストに問題があったら・・・? 変更後のメールアドレスだけをGETで送るような形式だと? #owaspkyushu
2015-06-13 16:16:05悪い人のURL踏むだけでログイン中のメールアドレスが変わってしまう! 乗っ取られる! #owaspkyushu
2015-06-13 16:18:11URLにアクセスした際に、そのブラウザの状態の情報を伴って送信されるために発生する。 サーバ側の不十分な検証を悪用した罠を悪用した「自爆誘導型」 #owaspkyushu
2015-06-13 16:20:46GETじゃなくて、POSTなら? JavaScript使えば行けるし、GETが問題という訳では。 #owaspkyushu
2015-06-13 16:22:27サイトの「確定処理」で自爆させるため、確定処理の内容によって危険度が変化する。 #owaspkyushu
2015-06-13 16:34:40@IT:「ぼくはまちちゃん」 ――知られざるCSRF攻撃 atmarkit.co.jp/fsecurity/colu… #owaspkyushu
2015-06-13 16:36:32特に脅威があると思われる典型的な処理 ・利用者のアカウントによる物品の購入 ・利用者の退会処理 ・利用者のアカウントによる掲示板などへの書き込み ・のっとり #owaspkyushu
2015-06-13 16:38:56