Entries from 2010-01-01 to 1 year

KCCSの「クラウド利用者必見!新春 情報セキュリティソリューションセミナー」で講演します

event

KCCSの情報セキュリティのセミナーでしゃべることになりました。テーマはクラウド利用のセキュリティについてです。 クラウドのセキュリティというと、文字通り雲をつかむような話になりがちですが、できるだけ明確なお話ができるように準備したいと思います…

初稿を完成しレビュアーさんに送付しました

wasbook

本を書いています。昨日ようやく全ての章の初稿を書き上げ、レビューアの皆様に最後の初稿を送付しています。現在は、レビューの結果を反映した第2稿に着手しています。最初の方に書いた章・節は、かなり手直しが必要で、まだ時間が掛かりそうです。 という…

続パスワードの定期変更は神話なのか

2008年2月にパスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの…

講演予告3題

twitterで次のようにつぶやいたところ PHPカンファレンスでやった文字コードの話を再演できる適当な場はないかな。まぁ、本書きで忙しい(はず and/or べき)ので、やりたいような、やらない方がいいような…とつぶやいてみる http://twitter.com/#!/ockeghem…

PHPカンファレンス テックデイにて講演します

PHPカンファレンス2010のテックデイ講演公募枠に応募して採用となりましたので、講演することになりました。9月25日(土)蒲田の大田区産業プラザ PiOです。詳細は、講演プログラムをご覧ください。 タイトルは、「[T-6]文字コードに起因する脆弱性とその対策…

iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない

iモードブラウザ2.0では、同一ドメインであっても、iframe内のコンテンツがJavaScriptにより読み出せないよう制限が掛かっていることを確認しましたので報告します。 【追記】元の内容には、重大な事実誤認がありました。正確には、同一ドメイン・同一ディレ…

オレ標準JavaScript勉強会発表資料

Loading...での発表に用いた資料です。 お役に立つかどうかは心許ないのですが、ドキュメントの一部を希望されていた方もおられましたので、slideshareで公開します。ガラケーで楽しむオレJSの勧めView more presentations from Hiroshi Tokumaru.

携帯電話事業者に学ぶ「XSS対策」

NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(し…

レビュアー選出を終わり、当選者の方には連絡差し上げています

本を書くことになりました&レビュアー募集のお知らせ - ockeghem(徳丸浩)の日記にてアナウンスしたレビュアー公募のお知らせには、最終的に29名の方から応募いただきました。多数の応募に感謝いたします。週末に選考させていただいた結果、当選者の方には、…

本を書くことになりました&レビュアー募集のお知らせ

ソフトバンククリエイティブさんからお話をいただき、Webアプリケーションセキュリティの本を書くことになりました。6月から書き始めて、年内に出版できればいいなという感じのスケジュール感です。 今度書く本は、入門的な内容になる予定ですので、私のブロ…

“完璧なWAF”に学ぶWAFの防御戦略

セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の…

ウェブ健康診断のハンズオンセミナーを実施します

KCCSさんと共催で、ウェブ健康診断仕様にもとづくWebアプリケーション脆弱性診断のハンズオンセミナーを開催することになりました。 日程:2010年5月26日(水曜)、5月27日(木曜) 2日間 場所:KCCS東京支社セミナールーム(東京都港区、泉岳寺駅) 費用:20万…

ディープリンク禁止サイトのブックマークについて、はてなに問い合わせしてみた

日経新聞電子版のリンクポリシーが話題になっていたところで、ソーシャルブックマークなどサイト側の対応はどうなのだろうかと気になりました。そこで、はてなブックーのユーザとして、以下のように、はてなに問い合わせしてみました。 日本経済新聞の電子版…

新党のホームページを見てメールアドレスのチェック方法について考えた

新政党「たちあがれ日本」のホームページが話題になっていたので私も見てみた。そして、メーリングリストの受付フォーム中に記述されたメールアドレスのチェック用のJavaScriptが気になった。以下に引用する。 if (!node.match(/^[A-Za-z0-9]+[\w-]+@[\w\.-]…

誤報訂正:『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』報道について

computerworld.jpは3月17日に『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』と題した記事を公開したが、一部誤報があるので訂正する。 米国White Hat Securityの研究者らがまとめた2010年版の深刻なセキュリティ脅威トップ10では、DN…

NSFOCUSセミナーのUStream中継が決まりました

event

先日お知らせしたNSFOCUSのセミナーは、Ustreamでライブ中継するそうです。以下のURLにて視聴できるそうです。http://www.ustream.tv/channel/issseminar当日来場できない方は、ぜひUstreamで視聴いただければと思います。

NSFOCUSセミナー

event

NSFOCUSという中国のセキュリティ会社が日本に進出してインテカーセキュアソリューションズという会社を設立することになり、セミナーで講演することになりました。NSFOCUS社の日本での主力製品は、DoS攻撃防御システム(Anti-DoS)やWAF(Web Application Fire…