Hatena::ブログ(Diary)

こずみっくきゅーぶ。 RSSフィード

とっぷ 雑記帳

2011-10-26 第18回 まっちゃ445勉強会

おやつ

手元にメモがないのでとりあえず写真だけ(えー

f:id:sagami:20111022150329j:image:mediumf:id:sagami:20111022150438j:image:mediumf:id:sagami:20111022150754j:image:medium

今回はラ・マレー・ド・チャヤのモンブランマーロウ復興支援プリンを計90個。

自分用にプリン買っておくんだった(ぉ

2010-12-14 第14回 まっちゃ445勉強会

今回はIIJ。一本でいける気楽さでスタッフ集合時間ちょうどに到着目安で移動…なんかスタッフ以外もたくさん来てるんですが。特に(黒い)森の妖精さんが張り切ってるっぽいのがこあい(w

準備

会場作りは敷居移動と調整程度ですぐ終了。

毎度ながら感謝します>IIJ

めざまし

余裕はあったはずなのに人員召還とか微調整とかやってたらいつの間にか開始時間。OPは代表のマイクパフォーマンスだけにしてすぐLTを開始

  • 「ITSec_JP活動の紹介」(mitsuki99さん)

ITセキュリティなネタをフラットに見られるモノがほしくて自分でやってみたとのこと。

とりあえずハッシュ手繰ってみます。

すいません、動き回っててあまり聞けませんでした。

  • 「で、みんなはクラウドの何が怖いんだろう」(miryuさん)

クラウドに関する一般的な危険度と国内でのアンケートの比較とか。国内だと手元にあるor国内企業でないと怖いと思っている企業が多いと。国内企業で日本的サービスプロバイダーを選ぶってのはわからんでもないけど、手元にデータを持ってることってセキュリティ的に強固かってぇとそうでもないんだよなぁ。

  • 「踏んでみた Ver 1.01 」 ( totoroさん )

動画系のサイトで色々ネタになりそうなういるるが踏めたってぇ話(ぉ

とりあえずまとめサイトは無視するとして、真っ当なサービスのサイトとか広告に仕掛けられるとこあいことになりそう。

本編

  • 自己紹介

なんとなくお初な方が多かったようなイメージ。

裏番組が多かったからか、敷居を低くできたのか…

記録しているパスワード情報が漏洩したときにパスワードまで行き着かないために採るべき一般常識系の話からジャンルごとの問題点、採りうる対策など。

WebベースアプリでのInjectionでの漏洩とかは別として、結局はパスワードの強度とパスワード情報の生成手段にかかると。

ただしシステム毎に脆弱性もあるから、きちんと問題点を理解してそれなりにクリア手段を考えなければならない。

小ネタ

IkepyonさんからIPAの「例えば、phpを使わないWebサイト」を元ネタに色々とw

SQL Injection 小ネタ集」(佐名木さん)

いきなり自己紹介で「給料がもらえる会社はすばらしい」「仕事は念力デバッガー」「SQL Injectionは心の故郷」とかwww

SQL Injectionは知らない世代が中心になるころにループして流行るのではないかとのこと。kakaku.comからもう2年か…

基本的に対策としてはエスケープとバリデーション、PreparedProcedureの使用、せめてSELECTそれ以外程度のアクセス制御など。

RDBMSのバージョンごとのコードとか振る舞いから注入すると問題が出てきそうな文字列とかどこで思いつくんだ…

2010-09-21 なんとなく・・・ このエントリーを含むブックマーク

IS01LYNXの件

まさかQuoted-Stringになってなかったってだけ・・・じゃないよね。

てか、前のピリオドの件といい、実装はともかく何でこんなアドレス使うんだろ…

2010-09-04 エフスタ!&東北情報セキュリティ勉強会

往路

なんとなく目覚ましに勝ってしまったので6時に車で出発、渋滞にはまって一回休み3.5hかかって到着。

めざまし午前の部「地方エンジニアから見たセキュリティ」(芳賀さん)

CISSP定義の「セキュアなフェンスの高さ」を枕にして、「地方の」ではあるけれど多分「全国の」でもふつーに当てはまる顧客ー営業ー開発のデススパイラルな状況の解説。

正直わかってるん(はずなん)だけどね的内容の棚卸しなんだけど、やっぱり痛い。

この辺完璧に回ってる会社って全然思いつかないよなぁ。。。

LT(AM)

ネタはなんでもありだが長かろうが短かろうが5分は確保するスパルタン仕様。

YellowCableとかのくだりで笑ってしまうのは歳のせいかのぉ。

ランチセッション(愛甲さん)

スパ4/PS3の通信対戦ががきちんと1/60でやり取りできているかをパケットキャプチャで検証するネタ。

次は2台使って整合性の検査を希望(ぉ

途中から聴いたので最初のほうの不安になるらしい流れってのがわからない…

午後の部「今夜わかるWebアプリケーションセキュリティ」(上野さん)

Webアプリが問題なければ発生しなかったであろう2社の例を出して要件定義と設計がそもそもの原因でだめだめなアプリが世に出てしまうって当たり前だけどなかなかどうにもならず、固まりがちな内容について、その背景と対策。あとは旨く流せば助けになるであろう健康診断のススメ。

相変わらずわかりやすいしゃべり口と時事ネタもきちんと組み込んだプレゼンは聴いてて気持ちが良いなぁ。

おやつ

地元で有名らしいケーキその他。

3GSで今一写真がうまく撮れない…

アカウントがないとtwitpicも観えないっぽいので無し。

やはりまっちゃ大福を買っていくべきだったかな(ぉ

ディスカッション

こーゆー場がある勉強会は久々なんで、ちょい内容のないことをしゃべりすぎたような…

ここまで書いた

2010-08-04 まっちゃ445番外編/JSOC見学会

わんだばツアー

夜からJSOC見学ツアーへ。

何とか定時であがったものの、特快に乗れず時間ぎりぎりという引率人にはあるまじき状況で現地到着。*1

当初は20人そこそこの予定が50人近くに膨れ上がった参加者がビルのロビーで待機という残念な光景からスタート(ぉ

まずは用意が整うまでラウンジで簡単なレクチャー&お話。

最初はちょいと聞けなかったが、アナリスト一人当りの処理割り当て数とか、

表舞台のアナリストだけじゃないよ〜て話とか、いくつかのバズワードに関するネタとかセキュリティって元締めやらないと儲からないって話とか。

で、いよいよぼーえーぐん本部見学。

injectionやGumblarの発生地点がポイントされるGoogleEarthな画面が投影されてる壁面とガラス壁の向こう側は60人からのアナリストのコンソールと中心にシニアな人たちが居座る円卓が配置された空間。

この光景ってクライアントよりむしろ中間の提案業者が見て餅は餅屋とするか、自力でやるか考えるために使うべきかなとか思った。

てか、人の苦労が無駄なものだと思ってるウチの上の連中に見せたい(ぉ

後の時間LAC・NetAgent両社のご好意によりピザビールで懇親会。

ちとあわただしかったけど、楽しい時間をすごさせてもらいました。

色々骨折っていただいたまっちゃだいふくさんとLACの方々に多謝。

*1:申し訳ない…