CLR/H in TOKYO #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

最低限エスケープしろ #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

自分では行わずに、言語機能とかフレームワークがあるならそちらで対応するのが是 #clrhtky9 自分でやったら大体漏れる

Ahf(Tomoyuki Obi) @twit_ahf

User = umi #clrhtky9

オヌーマ @saamonumai

SQL直書きのPHPとかデモとわかってても動悸がしてくる。 #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

IPA が安全なSQLの呼び出し方、ってドキュメントを出しているので是非一読 #clrhtky9

Pyromania 🏢〜☁️ @Pyromaniaxxx

ずーと昔、GoogleBotがサイト全部クロールしたおかげで テーブル削除リンクまでクロールされて DropTableされたServiceあったよな（ #clrhtky9

こげさか (更新停止) @kogesaka

パーミッション 777 いくない #clrhtky9

tea_kan @tetsunari_jp

開発者目線の話あまり聞く機会がないので新鮮だ。 IPAの[安全なSQLの呼び出し方] はオススメだって。聞いていて徳丸先生の書籍を思いだしました 。 ipa.go.jp/files/00001732… #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

脆弱性と戦うためには：情報を仕入れる、詳しい人や組織を頼る #clrhtky9

みたりょーしか @warudakumitter

セキュリティについては、開発者側の定義とインフラ側の定義は、一般ユーザーにはわりかし伝わっていなくて、これを噛み砕いて正しく伝えて修正してもらって…ていうのを最近ずっとやってて涙目です…　#clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

「自分達だけでやるのは無理」 #clrhtky9

高張大雅 @taiga_takahari

あの人たち頭おかしい！ #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

自分達でやろうとすると・・・・・・負けます #clrhtky9

こげさか (更新停止) @kogesaka

安全なウェブサイトの作り方 ipa.go.jp/security/vuln/… #clrhtky9

tea_kan @tetsunari_jp

安全なWebサイトの作り方ーIPA　ipa.go.jp/security/vuln/… #clrhtky9

tea_kan @tetsunari_jp

OWASP Japan owasp.org/index.php/Japan #clrhtky9

tea_kan @tetsunari_jp

Webアプリケーションセキュリティ要件書 owasp.org/index.php/File… #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

OWASP（Japan） と JPCERT はまず情報を集めるのに最適 #clrhtky9 個人サイトだと古い情報ばかり記載されているのがひっかかるなどあるので・・・

高張大雅 @taiga_takahari

変態セキュリティ研究者たち #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

なるべく安全なコードがかけるように情報を仕入れよう #clrhtky9 すいませんすいません

tea_kan @tetsunari_jp

セキュリティ対策って情報を知ることがまず重要。こういったガイドラインがある事を知るのはもちろんだけどすぐに見られるようにしておくのも大切。更新も確認する。ただ、ただ情報を鵜呑みにするのではなく信頼できる組織、個人の情報かどうか精査する必要はあると思う。　#clrhtky9

Pyromania 🏢〜☁️ @Pyromaniaxxx

なんかもうセキュリティのやつ日本代表が女装4人組ってイメージが（ #clrhtky9

Ahf(Tomoyuki Obi) @twit_ahf

このセッション、変な人とか変とかそういうワードがとびまくってる #clrhtky9

tea_kan @tetsunari_jp

攻撃される対策、開発者が気づかずにバグとして作ってしまう対策、これは分けて考えないといけないな #clrhtky9