冨永さん:BoFをやって: ・みんな、悩んでいることが分かれば良い →オレのほうが前進している?遅れている? →何をすべきかわかる ・続けていくことに意義がありそう #janog
2016-04-15 18:44:19冨永さん:BoFを主催したい人へ: ・自分のネタでみんなに喋ってもらうのは楽しい♪ ・ネタの宣伝を忘れずに →事前資料UPは必須 →ランチ企画で宣伝 →事前にLTなどで話すと人が集まる? #janog
2016-04-15 18:45:25森さん:悩みが深くなるのはうちも、過去の遺産がたくさんあって、高齢化と評価が低くなりがち、と。 冨永さん:それを言うことで、みんなが「あぁ」って言ってもらえる。 #janog
2016-04-15 18:48:30岡田さん:前回、看板、汚い字で書いたの僕です。ごめんなさい。 で、発表された他のBoFの評価、みたいです。 #janog
2016-04-15 18:51:27佐藤さん:CDNに脆弱性? "Forwarding-Loop Attacks in CDN": #janog
2016-04-15 18:51:44佐藤さん:CDNに対するサービス運用妨害の問題: ・JVNDB-2016-001538 ・中身を見た人:半分くらい #janog
2016-04-15 18:53:45Forwarding loop攻撃。 #janog pic.twitter.com/3LhL2nHFOG
2016-04-15 18:55:03佐藤さん:研究者の発表資料 概要: ・CDNの設定上、オリジンサーバーの指定の仕方に依ってはProxyループを発生させDDoS攻撃を行うことが可能 ・設定をユーザーが行うため →悪意を持ったユーザー →正規ユーザーの設定ミス #janog
2016-04-15 18:55:09佐藤さん;ループの種類: ・Self-Loop ・Intra-CDN Loop ・Inter-CDN Loop →CDN事業者さんみんなが対応する必要がある ・Dam Flooding →DNSが返すIPを毎回変えて他のCDNに、と →本当にできるのかな? #janog
2016-04-15 18:56:51佐藤さん:各CDN事業者の対応状況: ・Akamai →影響なし ・CloudFlare →影響なし ・Jストリーム →オンラインサインアップはない →対応完了 #janog
2016-04-15 18:57:52Forwarding Loop攻撃では対策を行わないCDN事業者がいた場合、Inter-CDN Loop攻撃によりCDN全体が危険になる、と。 #janog
2016-04-15 18:57:55佐藤さん:まとめ 他: ・CDN利用中の場合はご確認を ・脆弱性は、割りと重箱の隅をつつかれている感じ →みなさん、同じ漢字なんですかね?メーカーさん開発者さん ・セキュリティ情報、どこから入手? →JPCERT/CC、JVN、Piyolog、Twitter… #janog
2016-04-15 18:59:08#JANOG 38 プログラム応募の締め切りは、本日(4/15)まで!ご応募がまだのみなさま、はりーあっぷー!!「こんなプログラムどうかな?」というプロトタイプでもOKですよー。詳細は[janog:13424]をご確認くださいー!
2016-04-15 18:59:36平塚さん:JVNには早期警戒パートナーシップというものが。事前にお知らせしてフィックスしてもらうという活動。 #janog
2016-04-15 19:00:05【自分用メモ】JstreamさんのWebに解説が。// CDN Forwarding Loop攻撃 tech.jstream.jp/blog/cdn/cdn_f… #janog
2016-04-15 19:00:24