Conversation

Notices

1. せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 19:09:43 JST せのお (妹尾 賢)
   今晩はこちらに参加。少し遅れる。話をきいてみよう。ご飯無料ってすごいな。
   徳丸先生、増井さんから学んで、ついでに飲んじゃおう！司会は太田智美さん（対象試験受験者は無料） | Peatix - https://party2019.peatix.com/view
   • せのお (妹尾 賢) and haijuだよ? like this.
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 19:41:56 JST せのお (妹尾 賢)

     in reply to
     到着した。徳丸さんの今年のセキュリティの話が始まっていた。
     
     7payはパスワードリスト攻撃の問題だったらしい。
     2012年にIPAが命名した。
     haijuだよ? likes this.
     haijuだよ? repeated this.
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 19:47:41 JST せのお (妹尾 賢)

     in reply to
     パスワードに関して、2017年6月のNIST SP800-63-3。
     パスワードに関する要求。
     
     脆弱なパスワードの登録を弾く仕組みがあれば強い。
     
     ECサイトからのクレジットカード情報が一週間に1回くらいあった。
     今年最大はヤマダ電機。
     
     7payよりもこちらのほうが大きい。
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 19:51:47 JST せのお (妹尾 賢)

     in reply to
     最近のwebサイトはクレジットカードの情報は保存されていない。ただし、入力のタイミングで盗む。
     
     画面遷移を改ざんするのが最近のトレンド。多くの攻撃がEC-CUBEの古いバージョン。
     
     XSS+サーバーサイドincludeてやるとか。web shellとか。
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 20:00:31 JST せのお (妹尾 賢)

     in reply to
     続いてcapital oneの個人情報流出問題。
     
     IMDSという機能を使ったもの。
     
     通常はとれないところにデータがあるのだけど、プレビュー機能を踏み台にしてアクセスするとか。
     
     ブックマークのように任意のアドレスを受け取る場合、対策が難しい。
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 20:13:15 JST せのお (妹尾 賢)

     in reply to
     次はマスイさんの話。来年一歩成長するために
     
     masuidrive
     
     25年くらいOSSとかWebで活動。pukiwikiとか。
     
     自己紹介がやや長いな…長過ぎる。これが伏線なのか。
   • せのお (妹尾 賢) (senooken@social.senooken.jp)'s status on Friday, 13-Dec-2019 20:45:29 JST せのお (妹尾 賢)

     in reply to
     食事タイム。参加人数いるから足りないかも、 https://social.senooken.jp/attachment/367423