http://www.cmuj.jp/090829workshop/index.html と言うことで8/29に神戸で話すことになった。 ネタは、開発者がどうすれば安全なアプリを作れるか？という話の予定。 うだうだ言わずに、最低限これさえ気をつければOKみたいな話かなぁ？

改めて読んでみたんだけど、微妙な所がちらほら。 CSRF対策にSSL SSL/TLSの使用リクエスト強要（CSRF）対策に用いる照合情報は、他者に傍受されると都合が悪い。また、リクエスト強要（CSRF）対策が必要となる場面においては、ユーザやWebアプリケーションに…

昨日書いたネタの続きだけど、そういえば、iモードIDって送信されないこともあるんだった。 http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid SSL使ってる場合、昨日のコード使えねぇじゃんw 結局、PHPのセッションIDきちんと使いましょ…

ワッサーでつぶやいていて、PHPで個体識別番号をセッションIDとして使う方法を教えてもらった。http://wassr.jp/user/nihen/statuses/skctoRFZ3G 目からうろこが落ちた。 http://pastebin.com/m74e…

http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html

あちこちのサイトや本で初心者向けと称してサンプルコードが幾つか載っているのがあるけど、その多くはセキュリティ上問題があることが多い気がする。まあ、実例を挙げると名誉毀損で訴えられるとやなのでやらないけど（意気地なしｗ） 例としてあげるとこん…

http://www.scj.go.jp/ja/info/kohyo/pdf/kohyo-21-d4.pdf http://www.cp.cmc.osaka-u.ac.jp/~kikuchi/weblog/index.php?UID=1246460064 リスク評価とリスク管理は違うと言うことを改めて考えさせられるなぁ。ここら辺結構ごっちゃになってるし^^;

http://tacticalwebappsec.blogspot.com/2009/06/generic-remote-file-inclusion-attack.html 後で読む

http://www.meti.go.jp/press/20090630007/20090630007.html 後で読む

というわけで、はてなTシャツ2009欲しい！