2015年2月17日のtwitterセキュリティクラスタ

yousukezan
2015年2月17日のtwitterセキュリティクラスタです。ES6の時代でJSのセキュリティはよりいろいろありそうですけど。

間違いだらけのサンプルスクリプトですか。

昨日の私の日記なのですが、「大垣本」の技術的な問題として、通称バリデーションおじさん作のBBSでバリデーション機能はあるのに実際には動いていないことと、ログアウト機能が2回目以降動かないことを指摘しています。 d.hatena.ne.jp/st4rdust/20150… (続く)
(承前) 技術的な部分にて、間違いを指摘する文章自体に、間違いがあってはならぬと、一昨日下書きし、推敲してからのアップをいたしました。 十分に気をつけたつもりですが誤りがないとも言いきれません。ご指摘をお願い致します。

徳丸 浩@ockeghem

ロコグアウトの方は、安全なウェブサイトの作り方別冊の「ウェブ健康診断仕様」で検査できますね RT @s_hskz:(承前)また、この種の不完全なログアウト等、典型的なバグを テスト段階でみつけられるような、 チェックシート集のようなものがあればご紹介くださいませ。

徳丸 浩@ockeghem

ISOなどの規格で用語が定義されていても、あくまでその規格の中で閉じた定義であることも多いですよね。ISO 9000認証を受けているソフトウェア開発会社は多いと思いますが、ISO 9000で定義された用語(例: Validation)を、日常の業務では他の意味で使っても構わない。

徳丸 浩@ockeghem

ISO 9000でいうValidation(妥当性確認)は、ざっくり言うと「出来上がりの製品が、当初狙った用途に使えるかの確認」ですが、ISO 9000認証を受けたソフトウェア開発会社でも、Validaionという用語を「入力値の検証」という意味で使ってもいい。当たり前ですよね。

結城浩@hyuki

@ockeghem Validationは「定められた仕様を満たしている」とほぼ等価と思うのですが、その理解はいかがですか。

徳丸 浩@ockeghem

@hyuki ISO 9000では、あくまで最終製品の妥当性という意味で validation を使い、個々の仕様を満たすことの検証は、verification を使いますね

結城浩@hyuki

@ockeghem なるほど。では、きちんとverifyされたものだけがvalidになるわけですね。納得。

徳丸 浩@ockeghem

@hyuki V がいっぱい出てきて混乱しそうですw

結城浩@hyuki

@ockeghem (^_^)V

JSのセキュリティはもう語る意義がなくなる!?

Yosuke HASEGAWA@hasegawayosuke

agoさんとも土曜日話してたけど、ReactとかAltJSとかここ数年のJavaScript界隈の流れを見てるとJSがアセンブラ化する方向性は一層加速してるので、いよいよ生JS書く人なんて少なくなっていくし、そろそろJSのセキュリティについて語る意義もなくなってきた感。

Yosuke HASEGAWA@hasegawayosuke

「いや、そういう流れについていけず、昔ながらの生JSを書く人達だって一定数いるんですよ」という意見、agoさんの言う通り「それただツールが使えないだけの人だよね」なので、そういう人のためにはむしろツールを使えるような方向性で進めるべきだし。

Yosuke HASEGAWA@hasegawayosuke

JSのセキュリティ語るの、「セキュア・アセンブラプログラミング」みたいになりつつある。セキュリティ業界におけるアセンブラの位置付けを考えればむしろソースのないJSを読む技術とかのほうがこれからは求められたりするのかな。

Yosuke HASEGAWA@hasegawayosuke

アセンブラを最後まで書いてるのがexploit屋さんだというの、生JSを最後まで書いてるのがXSS屋さんになりそうというのとも相似で面白い。

Yosuke HASEGAWA@hasegawayosuke

あと、「ブラウザやJSが新機能をどんどん入れられるのは、脆弱性に対しての報奨金制度があるから。」という意見が興味深かった。とりあえず実装することでセキュリティ専門家に調査してもらえる。すなわち金で安全性を買うことができるという。

正規表現ライブラリに脆弱性があるそうですがそれほど騒ぐほどのものでもないのかもしれません。

ぬん。@amasawa_seiji

/【セキュリティ ニュース】著名な正規表現ライブラリに深刻な脆弱性:Security NEXT security-next.com/056020

上原 哲太郎@tetsutalow

regexに整数オーバーフロー脆弱性…影響範囲でかいな…スタティックリンクも多いだろうし / “JVNVU#92987253: Henry Spencer の正規表現 (regex) ライブラリにバッファオーバーフローの脆弱性” htn.to/PRgySu

moto kawasaki@motok2501

CWE-122 正規表現ライブラリのheap boはFreeBSDも罹災 32bit版のみと思っていいんだろうか OpenBSDは大丈夫(いつもながら偉い) DragonFlyBSD,NetBSDも罹災 kb.cert.org/vuls/id/695940
正規表現ライブラリregexの脆弱性ですが、まずは32bitのシステムにのみ影響があるとのこと。発見者はPHPやMySQL、BSD系OSなどにその可能性を示していますがそれについてのテストはしていないとのことです。(続く
続き)また、脆弱性を利用する場合約683メガバイトほどの文字列を必要とするそうで、一般的なプログラミングでは起こりにくいことであるとも伝えていますね。(終り

その他に気になったことはこのあたり。

cas_nisc@cas_nisc

「サイバーセキュリティ ひとこと言いたい!」
第17回は、ヤフー株式会社 社長室リスクマネジメント室 プリンシパル 高 元伸 さんから、インターネット利用者全般に向けたコラム「あなたは騙されない?」です。
nisc.go.jp/security-site/…

cas_nisc@cas_nisc

「サイバーセキュリティ ひとこと言いたい!」
第18回は、株式会社インターネットイニシアティブ セキュリティ情報統括室 エンジニア 小林 稔 さんから、一般職員、新社会人に向けたコラム「ログの運用を見直してみよう」です。
nisc.go.jp/security-site/…
Most Useless Javascript julienrenaux.fr/2014/01/15/top…
#owaspjapan 脆弱性を指摘する時にインパクトを持たせたい時に使える
赤旗の DOM XSS の修正通知が来てた.ダイタイ二十ヶ月
@t_ashula あそこのサーバ、まだふたつが混在していましたか? 【謎】
@s_hskz そんなダメな運用だったのですね.今回のはそんな面倒なとこじゃなくて SNS 連携系のボタンが document.write(location) っていうよくあるパターンでした

Shoichi Nakata@shonantoka

ネットバンクのスマホアプリ(?)に国内サーバから攻撃があったのを明らかにしたという日経の記事。調査元がDTRSということでちょっとびっくり pic.twitter.com/7q6ZshtYIs

Nikkei BP ITpro@nikkeibpITpro

#itprojp 楽天の偽サイトが2000件以上出現、偽の注文確認メールも出回る(ニュース) #security –  楽天は2015年2月10日以降、同社や「楽天市場」をかたるWebサイトやメールが多数確認されているとして注意… ow.ly/2UIY9n

Nikkei BP ITpro@nikkeibpITpro

#itprojp セキュリティ競技会その2 情報共有、監視、ログ取得に工夫点がある(「演習」で高めるセキュリティ対応力) #network ow.ly/2UJrM8

J-CASTニュース@jcast_news

謎のハッカー集団「アノニマス」イスラム国に宣戦布告!破滅を覚悟しろ – j-cast.com/tv/2015/02/172… pic.twitter.com/FhcRgzMZ0R
韓電の入札システムを改ざん、290億円の工事を不正落札 bit.ly/1L6w5wJ #朝鮮日報日本語版

TechCrunch Japan@jptechcrunch

匿名ネットワークの危機: ハッカーや政府機関にも狙われるようになった tcrn.ch/17cLJrv

ITmedia Top@topitmedia

itmedia.co.jp]Microsoftの月例パッチに不具合、4件の報告相次ぐ bit.ly/1L61DTt

ITmedia Top@topitmedia

itmedia.co.jp]銀行内システムにマルウェア潜入、30カ国で10億ドル盗む bit.ly/1MrZjb3

CNET Japan@cnet_japan

MasterCardとVisa、オンライン決済のセキュリティ強化策を発表 japan.cnet.com/news/service/3…

INTERNET Watch@internet_watch

マイクロソフト2月公開の月例パッチに4件の不具合報告  internet.watch.impress.co.jp/docs/news/2015…

INTERNET Watch@internet_watch

楽天市場の偽サイト・偽メールに注意、確認された偽装サイトは2500件以上  internet.watch.impress.co.jp/docs/news/2015… pic.twitter.com/ucatjuyoAa
https://matome.naver.jp/odai/2142412612784651501
2015年02月17日