2015年6月13日

「OWASP Kyushu Local Chapter Meeting 2nd」の実況ツイートまとめ

2015年06月13日(土)九勧博多ビルにて開催された「OWASP Kyushu Local Chapter Meeting 2nd」の実況ツイートまとめ #owaspkyushu 告知ページ https://owasp-kyushu.doorkeeper.jp/events/24859

ログ owasp

takesi_yosimura
1372
0
0
0

0

前へ 1 2 3 4 次へ

tksy(吉村武志) @takesi_yosimura

重過失判定について・注意義務の程度・予見可能性・対処の容易性 #owaspkyushu

2015-06-13 15:09:26

tksy(吉村武志) @takesi_yosimura

この裁判例のキモ［受注側]！・経産省やIPAの基礎にして、過失、重過失の判断を行っている。 →少なくとも、基本的対策として求められているところは、契約に無くても最低限の技術水準にあるものとして、対処しておくべき ※例外あり #owaspkyushu

2015-06-13 15:12:59

tksy(吉村武志) @takesi_yosimura

マイナンバー関連は、”望ましい”ではなくて、”やれ”とか”やるな”なので、注意が必要。 #owaspkyushu

2015-06-13 15:14:09

Hiroshi Koide @hirosk

IPAが告示していることくらい，対策しておかねば． #owaspkyushu

2015-06-13 15:15:31

tksy(吉村武志) @takesi_yosimura

発注者側は？・流出対策費のような経費は認められる・売上損失のようなものは認められない・最悪な場合は、受注側が休廃業してしまったようなケース。こうなると裁判しても取り返せない。 #owaspkyushu

2015-06-13 15:16:50

tksy(吉村武志) @takesi_yosimura

開発も、セキュリティ対策も相互の協力と理解が必要・・・ #owaspkyushu

2015-06-13 15:18:54

tksy(吉村武志) @takesi_yosimura

顧客の無理解、開発・管理側の説明不足、対処不足は損害発生の要因 #owaspkyushu

2015-06-13 15:20:03

tksy(吉村武志) @takesi_yosimura

発注者も勉強が必要・特にマイナンバー法の施行で、抽象零細企業も、情報セキュリティに対する関心を今後持たなければならなくなる・その後は個人情報保護法で５０００件要件が撤廃されることで、こちらも関心を払わなければならなくなる #owaspkyushu

2015-06-13 15:22:57

tksy(吉村武志) @takesi_yosimura

法律やガイドラインで書いていなくても、認証精度の上で書かれているものもある・・・ ”顧客が期待する！！” #owaspkyushu

2015-06-13 15:24:42

tksy(吉村武志) @takesi_yosimura

まとめのまとめ・結果（裁判例）がどうなるかも大切・結果からさかのぼって行うセキュリティ・法的な考え方もまた、セキュリティには大切な知見。・逆に法的処理にも技術の知見が必要 #owaspkyushu

2015-06-13 15:26:35

tksy(吉村武志) @takesi_yosimura

蛇足な問題提起・もしかして：既知のウイルスへの対策を怠って感染して他人に損害を阿賀得たらウイルス対策怠った責任が回ってくるのかも？？？・もしかして：既知の脆弱性でのサイト改ざんで他人に被害与えたら・・・？ #owaspkyushu

2015-06-13 15:31:14

くまきち @kumaika

#owaspkyushu なぜ QUO カードなのか

2015-06-13 15:43:11

tksy(吉村武志) @takesi_yosimura

さて、@greenz_greenz さんのCSRFのLong Talk #owaspkyushu

2015-06-13 16:02:04

tksy(吉村武志) @takesi_yosimura

法令違反ダメ、ぜったい #owaspkyushu

2015-06-13 16:03:59

tksy(吉村武志) @takesi_yosimura

CSRFの定義の話 Cross Site Request Forgeries Webにおける攻撃手法の一つ・・・・・・・・文字だと分かりにくい。 #owaspkyushu

2015-06-13 16:09:49

tksy(吉村武志) @takesi_yosimura

一番最悪のケースを想定・メールアドレスがログインID ・メールアドレスを変更時に新しいメールアドレスに通知が行く・「パスワードを忘れた場合」ではリセットパスワードがメールに届く。 #owaspkyushu

2015-06-13 16:14:04

tksy(吉村武志) @takesi_yosimura

仮にメールアドレス変更のリクエストに問題があったら・・・？変更後のメールアドレスだけをGETで送るような形式だと？ #owaspkyushu

2015-06-13 16:16:05

tksy(吉村武志) @takesi_yosimura

悪い人のURL踏むだけでログイン中のメールアドレスが変わってしまう！乗っ取られる！ #owaspkyushu

2015-06-13 16:18:11

tksy(吉村武志) @takesi_yosimura

URLにアクセスした際に、そのブラウザの状態の情報を伴って送信されるために発生する。サーバ側の不十分な検証を悪用した罠を悪用した「自爆誘導型」 #owaspkyushu

2015-06-13 16:20:46

tksy(吉村武志) @takesi_yosimura

GETじゃなくて、POSTなら？ JavaScript使えば行けるし、GETが問題という訳では。 #owaspkyushu

2015-06-13 16:22:27

tksy(吉村武志) @takesi_yosimura

確認ー＞実行なら？やっぱりJavaScriptがなんとかすることが可能。 #owaspkyushu

2015-06-13 16:29:56

tksy(吉村武志) @takesi_yosimura

サイトの「確定処理」で自爆させるため、確定処理の内容によって危険度が変化する。 #owaspkyushu

2015-06-13 16:34:40

tksy(吉村武志) @takesi_yosimura

＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃 atmarkit.co.jp/fsecurity/colu… #owaspkyushu

2015-06-13 16:36:32

リンク www.atmarkit.co.jp ＠IT：「ぼくはまちちゃん」 ――知られざるCSRF攻撃

tksy(吉村武志) @takesi_yosimura

特に脅威があると思われる典型的な処理・利用者のアカウントによる物品の購入・利用者の退会処理・利用者のアカウントによる掲示板などへの書き込み・のっとり #owaspkyushu

2015-06-13 16:38:56

前へ 1 2 3 4 次へ

いま話題のタグ

多様性354 ウイスキー118 終電で終点へ112 不審者163 資本主義224 古谷徹29 紅の豚33 大学2966 AIイラスト266 ヒグマ99 芽翠1 志摩スペイン村27 鉄道模型を捨ててから夫の様子がおかしい5 ラーメン1295 ぼったくり60