というわけで、某所の記事が公開されてた。いつものことながら、連絡ないしw 今回出した奴は長かったので、前後編に分かれたみたい。

http://enterprisezine.jp/article/detail/71 うーん、セキュリティ障害も災害も程度の違いはあれ、インシデントの1つなので、やることはかわらんよなぁ。それが、なされていないから？なんか今一な記事だなぁ

短時日で素早くコードを書くことのみに着目するのであれば、コピペは悪い方法ではない。しかし、これまで多くのサンプルプログラムには脆弱性が含まれてきた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 うーん、PHPをコピペに変えて、…

http://blog.goo.ne.jp/t_iwano/e/b555f483f742dc6044722dc10a24741a で書かれていることと、私の考えはほぼ同じです。 どんな言語(Webアプリの開発者がそれこそ書くことはあまりないだろうけど、アセンブラとかCとか)であっても、安全なアプリを作ることは…

しっかり寝てるはずなのに･･･

ふと思い立って、全脆弱性数を調べてみた。 Year 2007 2006 2005 2004 2003 2002 2001 2000 1999 1998 1997 1996 1995 1994 1993 1992 1991 1990 1989 1988 # of Vulns 4572 6600 4915 2376 1297 1963 1673 1019 920 246 252 75 25 25 13 13 15 11 3 2 % of …

http://www.sei.cmu.edu/cmmi/translations/japanese/models/

ちと、ネタで書いたことに、まっちゃさんに変な誤解を与えたようなので、調べてみる。 データの元はhttp://nvd.nist.gov/を使う。このサイトが何かはがんばって読んでみてw で、ここで、PHP自身の脆弱性の数を調べてみる。PHP言語の脆弱性数 Year 2007 2006 …

http://www4.symantec.com/events/controller?c=event&eventId=18193&ln=ja_JP 結構面白そうなセミナーだなぁ。

というわけで、ちと考えてみる。 要件定義にはじまって、概要設計、詳細設計、コーディング、テストケースといったドキュメントやコードを作っていって、どこにセキュリティ上の問題があるか？というのを考えるというのを作ってみよう。まあ、一種のプロジェ…

問題のある要件定義とか、設計書とか、用意してそれらの何処に問題があるか？見つけるってのやれば、結構面白いかも。 暇ができたら作ってみようかな？

http://www.microsoft.com/japan/technet/security/topics/policiesandprocedures/secrisk/default.mspx なかなかよさげ

これらは別にセキュリティ対策のために行うのではない。 あくまでアプリを正しく動かすために行う当然の処理で、結果として、異常な動作である脆弱性に対する対策として有効なだけだと思う。 ところが、セキュリティという観点からみると、脆弱性対策として…

某記事の第2弾が出ています。残念ながら今回は目の前の人が書いて、私は書いてません。 次は私が書いてます(というか書き書き中)

http://www.microsoft.com/japan/msdn/security/guidance/secmod71.mspx この一連の文書なかなかよさげ じっくり読んでみよう。

http://www.microsoft.com/japan/msdn/security/seminars/ 色々面白そうなんだけど、残念ながらレベル100しか見れない？

ビール飲みたいなぁ

某所のネタを他の人からもらうために、書きなぐってみるw 脆弱性のチェック方法として、レビューとテストという二つがあると思う。 まあ、レビューがチェックなのか？という突っ込みは別にして、ソースコード監査も一種のコードレビューだからレビューもチェ…

なんかあちこちめぐっていたらコピペがどうのこうのとあったのでw きちんと内容理解した上でコピペするのは悪くはないと思うんだよ。結局自分で書いても同じようなコードになると思うし。でも、理解もせずに欲しい機能があるからという理由でコピペするのは…

http://techtarget.itmedia.co.jp/tt/news/0705/29/news01.html 読んどく

ふと、思い立ったので調べてみることにした。面倒だったので、某ツールのテスト項目から統計(というほどでもないけど)を取ってみた。 脆弱性の種類 個数 XSS 192 コンテンツのなりすまし 1 OS Command Injection 6 SQL Injection 150 Buffer overflow 1 Path…

なんか朝起きたらぐったりだった。水分補給したら回復したけど･･･寝ている間に熱中症になった？

http://www.cgisecurity.com/articles/scannerchallenges.shtml 後ほどじっくり読む

あかん、原稿が2ページに収まりきりそうに無いorz(結局2000字の予定のところを3000字オーバーw) 書いててかなりはしょっている気がする。これ読んでわかるかなぁ？

http://www.techmatrix.co.jp/ev/app070910_i 9/10にWebアプリ開発系のセミナーがあるらしい。 表題を見る限り、セキュアプログラミングとかそういった方面がメインかなぁ。まあ企業がやることだから、取り扱い製品も紹介するみたいだけど、基調講演はこのあ…

http://matcha139.hiemalis.org/doc/macha139_konya_wakaru_secure_programing.pdf http://matcha139.hiemalis.org/doc/PHPandSecurity.pdf 面白かった。あそこまで人が多いとやっぱりディスカッションが辛いかもなぁ。 ディスカッションではちと話しすぎた…

あついし、だるいし、休み明けは辛いです。

ということで、開発者向けにXSSやSQLインジェクションがどうたらこうたらというのを書かないで、一般的な脆弱性発生の仕組みと対策について書いているんだけど、言葉が出てこんorz 書きたいことは大体決まっているんだけど、表現がうまくないし、2ページじゃ…

うーん、セキュリティ関連のコミュニティでは開発でのセキュリティ対策が重要だよねという認識がかなりできていると思うんだけど、開発関連のコミュニティではどうなんだろ？ やっぱり、そっちにも関るべきかなぁ？

http://codezine.jp/a/article/aid/1352.aspx たまに使うことがありそうなので･･･