って、一般の開発者に未だ浸透してないのか? もしそうなら、XSSがどういったものか、SQLインジェクションが起こる原因とかしっかり説明するような勉強会を開催したり、文章を書いた方がいいのかなぁ? む〜、XSSの仕組みと対策とか書いてみようかなぁ?

http://blogs.itmedia.co.jp/daitaian/2007/07/it_c325.html きっついなぁ〜。英語は読めるんだけど、文章作れないorz もっと精進せねば

http://www.microsoft.com/japan/technet/security/secnews/community/community070725.mspx 今回はばりかたの野見山さん。しかし、文章うまいなぁ。それに引き換え私は･･･orz

2ヶ月放置された記事が出たらしいw どこかは、内緒の方向でw しかし、こちらが書いたのとは、変えられてるんだよねぇ。まあ、それでよいかとしたほうも問題なんですが･･･それにタイトルは勝手につけられてるし。 意図としては、もっと考えようという話だった…

なるか?というと常にはならない気が。 ストアドプロシジャはSQL文をコンパイルしてDBMS側に保存しておくためのものであって、呼び出し方によっては、SQLインジェクション対策にはならないと思うのだけどどうなんでしょ? SQL文でストアドプロシジャを呼び出す…

http://itpro.nikkeibp.co.jp/article/Watcher/20070711/277258/ 何とか英語が書けるようになりたいのだけど、単語を選んでSVOとかの文法どおりに並べてるだけだなぁ。 どうも、相手にうまく伝わっていない気もするけど･･･ もっと精進せねば

うーん、まっちゃまでにブラッシュアップしたバージョンが出来そうにないorz 検査モジュールの外だしがうまくいかんorz 理由は、Classパスが通ってないからだと分かっているんだけど、どうやればいいのかわからねぇorz だれか教えてちょ〜だいm(_ _)m

インシデントが発生したときの対応で、その組織の印象がガラッと変わるような。 最近話題の組織はどうも外から見ている限り、インシデントレスポンスがうまく機能していないというか、全くなかったような気がする。 ウィルスがWebサイトにあることを質問した…

ふと思ったのだけど、「右から来たものを左へ受け流す歌」って最後だけ変えれば「SQLインジェクションの歌」とか、「XSSの歌」とかになるなぁｗ これらの脆弱性って、単に、右から来たものを左に受け流すだけだからなぁ

うーん、今の値段ってどうなんだろう?仕事がいっぱいあってウハウハ状態なら、考えてもよいかもw まあ、私は検査できるほどの能力はありませんがorz

半日しゃべりっぱなしで疲れた。

http://www.atmarkit.co.jp/news/200707/19/starlogic.html 人月商売は良くないのはわかってるんだけど、これでやろうとすると、1要件の単位を細かくする必要があるのかな? 機会があったら、話を聞いてみたいな。

「〜したい」と変換すると一番目が「死体」となる辞書って一体orz

http://www.ibm.com/developerworks/jp/xml/library/x-ajaxsecurity.html ざっとしか見てないけどよさげ。しっかり、JSONの危険性も書かれてるし。 やっぱ、JSONはきちんと対策しないと危険だなぁ。

Webアプリのセキュリティをメインに研究したいなぁ。研究と教育だけをできる環境があればなぁw

WAFってあくまで保険なんだよなあ。しかもキチンとアプリを守ろうとすると、設定が大変だし。設定が適当だとあまり意味ないし。しかもアプライアンスがほとんどで、とっても高い。 加えて保険であるため、セキュリティ対策がしっかりしたアプリさえ作れれば…

そろそろ開発再開中。小ネタから、まずは修正中。検査中の操作については、開発協力を申し出てきた人にお願いしようかなぁ。 次期バージョンができたら、あちこちに告知するかなぁ? しかし、某所のログを見る限りちまちまとダウンロードされているみたいだ。…

うーん、いろいろやらんといかんことが･･･

http://www.atmarkit.co.jp/news/200707/17/sans.html なかなか興味深い。確かに技術者のセキュリティレベルを測るための手法は必要かもなぁ(それだけじゃダメだけど)

みたいな講座があればいいなぁとふと思った昼下がりw 1週間であなたも安全なシステム開発・構築が出来るようになりますといったノリで。 当然「効果には個人差があります」と言う注釈付きw

そろそろキチンとプレゼン資料作った方がよいかな？ 今あるのはソバ用にいい加減に作った奴だし。 一度まともに作ってみようかな？

http://tomocha.net/diary/?20070715#200707151 多分出来合いのネットから拾ってきたソフトを使っているんだろうなぁと推測。 このあいだ見た奴は自社開発っぽかったんだけど、やっぱり何でもかんでもHiddenフィールドに入れてたしなぁ。 やっぱり、このあた…

http://d.hatena.ne.jp/sonodam/20070715/p1 以前、某商用ツールのコーディング規約チェック機能を確認したことがあるけど、確か、セキュアコーディング規約にあっているかどうかは特定のメソッドの有無とか、単なる文字列の検索だったと思う。 これだけじゃ…

なんかもうダメですorz

今週は、久しぶりに外でゴソゴソしていたのだけど、セキュアプログラミングではなく、セキュアなアプリケーションの開発手法みたいなのをしっかりまとめたほうがいいかなぁと思った。というのも、久々に「これはすごい」というようなアプリケーションを見た…

今週はずっとデズッパリで大変疲れた。

要件定義でセキュリティを考えるとすると、この段階では何をする機能を実装するのか?運用はどうするのか?といったことが具体的に決まってないと思われるので、「何を守ればいいのかわからね〜」ということになりがちだと思う。 かといって、開発委託先に「セ…

http://security27000.blog107.fc2.com/ ISMS系の漫画らしい。こういうのもありなんだろうなぁ。わたしにゃ絵心無いのでかけませんが･･･

http://programmer-wanted.capcom.co.jp/

専業主夫をしてみたいなぁと思う今日この頃w