ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2006-02-27 へろへろ このエントリーを含むブックマーク このエントリーのブックマークコメント

週明けから終電のがしたorz

トラックバック - http://d.hatena.ne.jp/ikepyon/20060227

2006-02-25 まっちゃ〜

というわけで到着しました。

今日のまっちゃすごく面白かった。

京大ネタの宝庫らしいw

[] を含むブックマーク のブックマークコメント

セキュそば、自分の中では申し込みしてたのすっかり忘れてたw

ま、それならそれでいいので、セキュそばに参加される方よろしくお願いします。

とりあえずSKUF朝の部で使った2つほどネタがありますが、どうしましょ?

一つはボットネットネタで、も一つは■いネタ(大したことないですけどw)なんですがやったほうがいいかな?

[] を含むブックマーク のブックマークコメント

朝の部のまっちゃさんの発表はすごくためになった。会社の人にもメモ回してみるですよ。

とりあえずの結論バグトラッキングシステムサービスデスクのツールとしてチョー使えそう」。ま、これは前から思ってたんだけどね。実際に使ってみての感想があるとやっぱ違います。

午後は午後で、非常に面白いネタでした。肝はこんな感じ?

  1. インシデントレスポンスはしっかり手順決めておきましょう。
  2. CISOには緊急事態に慣れている人(臨機応変に対応できる人)を立てるとよいらしい。
  3. スキームを徹底するには数年かかる。

会社とか組織でとかとなるとどうしてもすぐに効果が出るのを求められるのが悩みどころ(特にコンサルとかで入るとね)。上と下との意識の違いもすごく困る点だったりするし・・・

上はすごく急務だと思ってるけど下はめんどくさいなぁと思ってる場合はどうすりゃいいでしょうかねぇ?

トラックバック - http://d.hatena.ne.jp/ikepyon/20060225

2006-02-24 あしたはきょうと

今日関西入りする予定だけど、やることてんこ盛りなのでちょっとびみょ〜

[]中小企業BCP策定運用指針 中小企業BCP策定運用指針を含むブックマーク 中小企業BCP策定運用指針のブックマークコメント

http://www.chusho.meti.go.jp/bcp/index.html

ということらしい。暇なときに読む。

[] を含むブックマーク のブックマークコメント

というわけでとっとと撤収完了です。

これから新幹線に乗って実家です。

[]SQL Injection SQL Injectionを含むブックマーク SQL Injectionのブックマークコメント

とりあえず遅くなったけど、SQL Injectionについてまとめてみた。

http://www.geocities.jp/ikepy0n/SQLInjectin.html

ま、たいしたこと書いてないけど、何かの役に立てばということで。

実はまだ構想としては中途半端なんだけどまあいいかw

会社のページにも同じような文章でプラスαしたものを出す予定だったりするので、パクリではありませんからw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060224

2006-02-23 ねぶ

どんなに寝ても寝たりない

[]要求仕様と要件 要求仕様と要件を含むブックマーク 要求仕様と要件のブックマークコメント

何となくだけど要件は「こういう機能がほしいなぁ」という実現すべきことを言っていて、要求仕様は「この機能はこういうふうに作ってね」という実装方法まで含んでる感じがするのだけど、違うかなぁ?

[]Gmail落ちてる?(At 24:00) Gmail落ちてる?(At 24:00)を含むブックマーク Gmail落ちてる?(At 24:00)のブックマークコメント

あれれつながらないぞ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060223

2006-02-22 のんびり出来そで出来ないこのごろ

急いでやることはないんですが、考えなきゃならんことが一杯で・・・

[] を含むブックマーク のブックマークコメント

要件定義がないプロジェクトってないと思うんですが、それを記録してお客に確認とってないと全く要件定義をする意味がないと思うんだけど。

今関ってる仕事ってまさにその要件定義が書かれたドキュメントがひとつもないorz

設計書も絵しかないからみても意味分からないし、要件が何か分からないから何が正しいのかも分からない。こんなのを納品してるんだよなぁ>某社

後からメンテナンスするものの身になって欲しい今日この頃

[]脆弱性情報サイトJVN」が実施したアンケートCGI脆弱性が指摘される 脆弱性情報サイト「JVN」が実施したアンケートのCGIに脆弱性が指摘される を含むブックマーク 脆弱性情報サイト「JVN」が実施したアンケートのCGIに脆弱性が指摘される のブックマークコメント

http://internet.watch.impress.co.jp/cda/news/2006/02/21/10960.html

うーん、セキュリティに対してきちんとしとかないといけないサイトがこれって・・・

突貫で作ったんだろうなぁ、きっと。

しかし、どんなアンケートだったのか知らないけど、回答をファイルに書き出すだけだったら、ロックの問題さえ何とかなれば、早々セキュリティホールなんてもぐりこまないと思うんだけど、あまいかな?

[] を含むブックマーク のブックマークコメント

セキュそばどうするか悩み中。暇だろうから行ってもいいんだけど、今週末まっちゃに参加するので先立つものが・・・

うーん、行くとして日帰りにするか泊まりにするか悩むなぁ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060222

2006-02-21 ねむっ

一寸落ち着いた感じ。

[]めもが〜 めもが〜を含むブックマーク めもが〜のブックマークコメント

休みの日にこの間のSKUF議事録を作ろうと思ってたら、取ってたはずのメモがないorz

まさに「メモが、メモがぁぁぁぁ〜」(byムスカ)って感じ。

[]そうかわかったぞ そうかわかったぞを含むブックマーク そうかわかったぞのブックマークコメント

精神的に参ったドナドナでの仕事で困った理由がやっと分かった。

途中から入ったのに要求仕様がなかったんだ_| ̄|○

そんでもって説明もろくになかったので当たり前だ。

こんな仕事よくやるなあ>某社

yamagata21yamagata21 2006/02/21 12:21 そんな時は、とりあえず、バルス!(違w

ikepyonikepyon 2006/02/21 13:16 バルスを唱えたらPCが壊れますがなw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060221

2006-02-18 ああー成果物が

出来てませんorz

うーむ、中途半端になってるものが多すぎ>自分orz

てこ入れしないとなぁ。

[]PKIと証明書とSSL PKIと証明書とSSLを含むブックマーク PKIと証明書とSSLのブックマークコメント

PKIってのはあくまでインフラなんで運用によって意味があるのかないのかが決まってしまうもののはず。

また、証明書が証明してくれるのはその通信とか、メールとかが証明書が発行された本人から出されたものですということでしかない。

だから、メールを出した本人とか、通信相手が送信してくる情報が信頼できるかできないかを保障するものではない。というわけなので実はSSLで通信しているからこのサイトは本物だというのはちゃうんです。

PKIの仕組み上認証局が本当は証明書を発行する相手を吟味して発行して問題ないかというのを判断しないといけないんだけど、実際はそんなことが出来ない。

フィッシングサイトを立てる人がSSLの証明書をVerisign等の認証局に対して発酵依頼をかけることが可能だし、その人がフィッシングサイトを立てないということを確認することは認証局には難しい。ま、似たドメインだったりすると怪しいと判断できるけど、本物が略称を使ってたり(この間のSKUFで出たけど)、わけのわからないものを使っているとフィッシングサイトドメインなんて簡単に取れるし。

そうなると認証局では判断がつかないのですよ。

また、いくらルート証明書認証局が非常に厳しい審査基準であっても、下位の認証局がゆるゆるだったりすると、これまたそのツリーの証明書自体が信頼できなくなってしまう。現実に証明書を発行する場合は発行先が実在しているということしか見てないので、実はあまり信頼できなかったりする。

しかも、認証局も過当競争に入っているので、なるべく手間を減らして安くという方向に走ってたりして、フィッシングサイトを立てる側からすれば非常にうれしい事態になってるんですな。

で、フィッシングサイトに正規の証明書が使われたというのが出てくると、そろそろそういう時期に入ってきてるような。

これを何とかするには、PKI運用をもう一度考え直さないといけないんだけど、儲けがないとビジネスにならないから難しい。

何とかなんないかなぁ?

cubed-lcubed-l 2006/02/19 04:40 http://japan.cnet.com/special/story/0,2000050158,20093838,00.htm
この動きは〜?

ikepyonikepyon 2006/02/19 20:57 うーん、どうでしょうねぇ?
結局審査にコストをかけすぎるとやはり使われない気もしますし・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20060218

2006-02-17 ああもうこんな

気がついたら2月も下旬ですよ、奥さん

今日タモリ倶楽部鉄分補給になりますなぁ。

しかし、乗り鉄とかわかる自分が悲しい今日この頃w

[]資格 資格を含むブックマーク 資格のブックマークコメント

某所にて資格の話があったので、ついw

会社で強制的にやらされたもの以外、資格とるのに試験勉強して受けたて資格ってないかもしれない。

資格なんて自分の今の実力を計るバロメータにしか思って無いし。だから自分が試験勉強すること自体、自分の中では邪道だと思ってるんだよね。

ま、この考えを他人に押しつける気はサラサラ無いですが。

vulcainvulcain 2006/02/19 01:19 同じ考え方の人ハッケソw<バロメータ

トラックバック - http://d.hatena.ne.jp/ikepyon/20060217

2006-02-16 もうだめかも

かなりへこみ中orz

[]“本物”のSSL証明書を持つフィッシングサイト出現 “本物”のSSL証明書を持つフィッシング・サイト出現を含むブックマーク “本物”のSSL証明書を持つフィッシング・サイト出現のブックマークコメント

http://itpro.nikkeibp.co.jp/article/NEWS/20060214/229197/

この間のSKUFで出た奴ですな。ちょっと探せばブラウザルート証明書がある証明機関がただでサーバー証明書を出してくれるのでいつかは出るねと話してたとこなのにねぇ。

ルート証明書CAが信頼できて、信頼できるところにしか発行していなくても、間にあるCAも信頼できるところにしか発行してなければぜんぜん意味がないので・・・>某所の議論。

CRLとかOCSPとかがきっちり動かないとこの問題なくならないかもね。OCSPとか出来ると今度は負荷の問題とか発生するけど・・・

まーまー 2006/02/17 15:51 証明書とCAとSSLに関する認識が(世間の)あっちこっちでズレまくってる感じで、この間のプレゼンを見せてあげたいですよ!ってかんじ。
しかもタダで出してくれるところはないだろう、とか・・・。何も正式サービスでタダでなくても、先方(誰)はトライアル無料で十分なのにねぇ・・・。

ikepyonikepyon 2006/02/17 20:01 ま、確かにそうですねぇ。
一度PKIの仕組みとSSLとその脆弱性について書いてみるかなぁ?たいしたものではないですがw

トラックバック - http://d.hatena.ne.jp/ikepyon/20060216

2006-02-11 へろへろ

この1週間は常に睡眠時間が4時間以内だったなぁ。

[] を含むブックマーク のブックマークコメント

田中.ROMさんところから

http://bom-ba-ye.com/a.cgi?okuhiko=1

やってみたw。

コメント

ikepyonさんの周囲の人々は、もしかしたらikepyonさんのキレる姿など想像ができない、という人も多いかもしれません。なかなか辛抱強く、温和に人間関係を保とうとしていることは評価されます。しかし、言いたいことが言えないのは困りものです。ストレスに注意しましょう

キレ度★★

爆発力★★★

人間味★★★

好感度★★★★

ま、人前ではあまり切れませんなぁw人が切れてるところはあまり見たくない人だし。言いたいことは結構言ってるつもりだけどなぁ。たまってるときは日記に書いてるし

最近の鬱傾向は自分の問題なんで仕方がないしね。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060211

2006-02-07 へにょへにょ

ここのところ残業終電もしくは一本前だったりorz

ま、急ぎの仕事だから仕方がないんだけど・・・

[]SQL InjectionとUnicode SQL InjectionとUnicodeを含むブックマーク SQL InjectionとUnicodeのブックマークコメント

というわけで、よくわからないんだけど、DBSQLUnicode対応だったらやっぱ、SQL Injectionって対策大変かなぁ?と思い立ち、検証環境を作りたいんだけど、時間がなくてorz

とりあえず、SQL Serverってどうかなぁと思ってるんだけど、実際のところどうなんでしょ?>偉い人

OracleとかもUnicode対応かなぁ?

ネタを書いてみるw

vulcainvulcain 2006/02/08 07:32 UTF-8でOracle構築したのでそんなこと言われると不安だたーり(;^_^A アセアセ…

ikepyonikepyon 2006/02/08 13:19 SQLでUnicodeが有効でなければたぶん問題ないはずです。それが分からないから興味があるわけでw
そういった意味ではXSSもUnicodeでどうなるか調べないとなぁ

hasegawayosukehasegawayosuke 2006/02/08 13:46 Unicodeだろうが他のエンコーディングだろうが、「メタキャラクタとして解釈され得る文字」を正しくエスケープしておけば問題ないですよ。「外部から来た文字列」→「パラメータチェック」→「文字コード変換」→「処理」という手順だとドボンな可能性大です。で、問題は「文字コード変換」とそれに続く「処理」がDBエンジン内などで一体化されていて、開発者が把握できないときですね。

hasegawayosukehasegawayosuke 2006/02/08 13:48 もう1点。Unicodeしか使っておらず、途中で文字コードの変換が入らなくても、CompareStringWのような曖昧な文字列比較を使用していると、思わぬ文字列同士が「一致」と見なされて、痛い目に会うことはあります。

hasegawayosukehasegawayosuke 2006/02/08 13:54 XSSで言えば、<script>などの普通のタグは当然ASCIIな範囲の文字しか受け付けませんが、expression のような独自拡張の部分は「何でもアリ」な世界です。http://d.hatena.ne.jp/hatenadiary/20051219/1134977335

ikepyonikepyon 2006/02/08 18:43 正しく対処してればいいんですけどね。
例えば、SQLの場合Asciiの「’」だけのチェックでいいの?というのを確かめようかと。今の対策ってそれだけですから、ほんとに安全かというのを確認したいというのがあります。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060207

2006-02-04 ほんわかw

おもむろに茨城温泉モドキに行ってきたw

おかげでちょっとプラス思考になれた。

途中で出雲大社なる、看板が見えたので調べてみた。

http://www.izumotaisha.or.jp/

どうやら、東京にもあるらしい。しかも、六本木ヒルズの近くwww

http://www.izumotaisya-tokyobunshi.com/main10.htm

これは、一度行ってみるしかwww

ねむる部

AM2:00〜AM8:15

最近書いてなかったので、書いてみるテスト

[]RFPのセキュリティ要件 RFPのセキュリティ要件を含むブックマーク RFPのセキュリティ要件のブックマークコメント

昨日のネタなのだけど、リンク先に書かれているとおり、脅威モデルでRFPに書くのがいいだろうなぁ。第1回のSKUFでも話したけど、要件定義の段階で、各機能ごとに脅威を洗い出して、その対策を行うことということを入れるのがいいのかなぁ?

専門家たるIT技術者が必要なことを考えてくれないのなら、自分たちで考えないといけないという変な体質というのをほんとは何とかしないといけないんだけどねぇ。

そのためにはIT技術者セキュリティという考え方を教育する必要がまだまだ足りないのかな?何とかしたいんだけどねぇ(ま、そのひとつの場を作るのがSKUF目標の一つと個人的には思ってるんだけど)。

[] を含むブックマーク のブックマークコメント

勉強会とか、オフ会とかで、初めて参加する人に対してどうすれば敷居を低く感じてもらえるかというのは、非常に難しい問題だ。

常連さんだけで話をしてしまうと、初めて参加する人は居辛くなって、去ってしまうし・・・

かといって、初めてさんを気にしすぎると、常連さんの重荷になってしまうし・・・

難しい問題だなぁ。どうすればいいのか、きちんと考えないと。

ま、少なくとも隠語で話すのをやめないとね。

まーまー 2006/02/04 23:33 まぁ、とりあえずは情報公開(雰囲気公開とでもいうのかな)でしょうね。とりあえず運営スキルあげましょう。

ikepyonikepyon 2006/02/04 23:38 はい、運営スキルが低くてすみません。
もっといろいろと精進しないと。

ハルハル 2006/02/05 12:29 たとえば懇親会のポリシーをはっきりと決めると良いと思います。
別勉強会参加者たちが隠語で盛り上がるための交流の場なのか、初心者を受け入れる社交的な交流の場と位置づけるか。。

まーまー 2006/02/05 17:36 後者が理想ですね>ハルさん。そのためには席の決め方とかも考えなくては。隠語・・おおっぴらに名前を言いにくいから・・・で、カモフラージュなってたりするので、それをフォローする配慮が理想かな・・。

トラックバック - http://d.hatena.ne.jp/ikepyon/20060204

2006-02-03 今日は帰る

というわけで、昨日は帰れませんでしたTT

[]残業 残業を含むブックマーク 残業のブックマークコメント

ま、私は残業をすべて否定するものではない。今回の朝までお仕事のように突発的に遅くまで仕事をするのはありだと思う。予期せぬことが起こってそれに対処するのに遅くまで仕事しないというのはナンセンスだし。ちゅうかそういう時はしょうがないでしょ?

ただ、残業するのが当たり前になって、「残業する奴が偉い」とか「残業してる奴は仕事ができる」というあほらしい宗教に染まるのがいやなのだ。本当にできる奴は同じ仕事をこなすにしても定時内に終わらせるはずだし、できない奴は徹夜仕事をしても終わらないだろうし。

問題はできる奴には許容範囲以上の仕事を渡してしまうことだったり、できない奴に無理な注文をしてしまうマネジメントだと思うのだけど、どうも回りはそう思ってないようでorz

本当にできる人は楽に仕事がこなせるような方法を考えて、それを実行して短時間に仕事を終わらせるのだと思うのだけどねぇ。

楽に仕事をする=サボりという変な風潮もいやだったりする。ちゅうか努力すれば仕事できてるんだというのは勘弁してほしい。努力しても成果が出せないと意味ないんだしさ。

だって、短い時間に人ができない仕事をこなすのってすごくかっこいいじゃないw

ハルハル 2006/02/05 19:01 まったくもって同意です。

しかしながら、残業する奴が偉いという上司から離れてみて悩んでいるのが、「パフォーマンスはどうやって測定されているんだろう」というモノ。
早くやったら早くやったで、また仕事がどんどんふってくるわけで・・・。

ikepyonikepyon 2006/02/08 01:57 結局仕事量なり、仕事の質なり結果で評価するしかないのかも知れないですね。ただ、無茶な要求をしてるのか、サボっているため結果が出せないのかがきちんと見てないとわからないのが困り者ですが^^;

トラックバック - http://d.hatena.ne.jp/ikepyon/20060203

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
Connection: close