WASForum Conference 2010: クロージングディスカッション 脆弱性対策至上主義からの脱却 | 水無月ばけらのえび日記
公開: 2010年6月4日0時10分頃 WASForum Conference 2010、Live IDの話の後は最後の最後、クロージングディスカッション。壇上には三井物産セキュアディレクションの国分裕さん、テクマトリックス株式会社の酒井喜彦さん、そして司会は株式会社テックスタイルの岡田良太郎さん。席からはスピーカーの門林さん、松岡さん、高木さんが乱入する形となりました。 以下は、話された内容の一部を断片的にメモしたものです。敬称は略させていただいています。正確性はいまいちな上に、途中ところどころ飛んでいますのでご注意ください。 国分昔からすると変わってきている。昔は自前で全部やっていたが、最近は外のサービスと連携したり、複数サイトにまたがったり、新たな考え方が今後必要になってくる。 酒井企業サイトのマッシュアップは進んでいない? これから対策しなければならなくなる話。伝えていかなければな
WASForum Conference 2010: "Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは | 水無月ばけらのえび日記
公開: 2010年6月1日1時30分頃 WASForum Conference 2010、OAuthの話の次は、日本IBMの吉濱佐知子さんによる「"Web2.0" におけるセキュリティ ~ セキュアなWeb2.0環境の構築とは」というお話。吉濱さんはWASForum初の女性スピーカーなのだそうです。 ※全体的に話の流れが非常に速く、ほとんどメモが取れませんでした。以下、メモは断片的です。 Web2.0におけるセキュリティWebアプリケーションの脆弱性は依然として多いWeb2.0(ツーオー)の特徴……Ajaxによる非同期アクセス、MashUpSame-Origin Policyを破るコンテンツ …… サイト運営者が用意したものではないUGC (user-generated content、ユーザが投稿したさまざまなコンテンツ) や JSONP による外部ドメインコンテンツの取り込み 脅威の発
WASForum Conference 2010: OAuthとWEBサイト運営のエコシステムに潜む罠 | 水無月ばけらのえび日記
公開: 2010年6月1日0時30分頃 WASForum Conference 2010、高木さんのセッションが延びてしまって開始予定時間を大きく過ぎたところで、トライコーダ上野宣さんによる「OAuthとWEBサイト運営のエコシステムに潜む罠」。
WASForum Conference 2010: どうするケータイ認証 | 水無月ばけらのえび日記
公開: 2010年5月31日0時45分頃 WASForum Conference 2010、ソフトバンクの脆弱性の話に続き、産総研の高木浩光さんによる「どうするケータイ認証」。 ケータイWebの世界従来、WASForumではあまり扱ってこなかった分野。その理由は…… 独自方式、仕様が明確でないNDAの壁 (特に公式サイト)契約で縛った独自世界なら、キャリアが責任を持つべき。部外者は何かを言うべき立場にないしかし、昨今では…… ケータイ独自方式が一般サイトにまで侵出2008.3 iモードIDがスタートスマートフォン対応の活発化 ログイン認証の欠陥ID (契約者固有ID) による認証を JavaScript + DNS Rebinding で突破される問題海外ではあまり問題にならないDNS Rebindingという手法は古くから知られていたのだが、そんな認証は日本でしか使われていないため、海外
WASForum Conference 2010: ケータイ2.0が開けてしまったパンドラの箱 | 水無月ばけらのえび日記
公開: 2010年5月30日16時40分頃 WASForum Conference 2010。OpenIDのお話の後は、昼休みを挟んで午後のセッションです。午後の一発目は、HASHコンサルティングの徳丸浩さんによる「ケータイ2.0が開けてしまったパンドラの箱」。実はこのセッション、事前に「未公表のネタ2件を発表する (twitter.com)」と宣言されていました。未公表の脆弱性が複数公開されるのではないか……と、期待と不安が高まります。 各サービスのかんたんログイン機能はてな …… 「かんたんログイン」ありライブドア …… 「クイックログイン」ありmixi …… 「かんたんログイン」ありブラウザ三国志 …… なんと、「かんたんログイン」のみ。むしろ潔い?Twitter …… かんたんログインあり。このサービスは、端末が3台あれば3台ともかんたんログインできるように頑張っている。Remem
WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (後半) | 水無月ばけらのえび日記
公開: 2010年5月29日13時35分頃 WASForum Conference 2010、国民のためのウェブサイトを運営するID認証の舞台裏。前半に引き続き、外部サービスとの連携の話に移って行きます。 オープン化とプライバシー社内で明文化されたポリシー : 「ヤフーをプラットフォームとして、ヤフーだけにとどまらず、パートナーサイトとの最適な連携を通じて、インターネット上に存在する情報・サービスの中から、お客様にとって最良の情報・サービスを提供して行く」OpenID、OAuthなどによるプラットフォーム提供プロバイダ側が充実しても、ユーザーにはその事が分からない。共同プレスリリースを出して行く 連携の例smart.fm × Yahoo! Yahoo!側のプロフィールをsmart.fm側で出せる渡したくないものは渡さないように選択できたりするOisix × Yahoo! 決済・ポイント連携
WASFカンファレンスに参加してきた - あしのあしあと
WAS(Web Application Security)フォーラムのカンファレンスに参加してきた。 このカンファレンスは、毎年、非常に内容が濃い。また、(昨年度に引き続き)土曜の開催であることと、自費で参加できるレベルの参加費用であることから、会社で「セキュリティ」関連のミッションが与えられていない人でも参加しやすい*1。 メインキーワードは「携帯(特に、かんたんログイン)」と「OpenID」だったと思う。「異なるサービス間で、ユーザをどう識別し、どのようにユーザの情報を送受信するか」について、世界のインターネットが大きく動いている。日本のインターネットが方向を誤らないようにしたい。そういうメッセージを受け取った。 一参加者として「微力ながら貢献しなくては」と思うのだが、、微力すぎて、とりあえず自分のまわりから(スキルはマイペースで身につけていこう。あせらないあせらない)。 以下、各セッ
WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半) | 水無月ばけらのえび日記
公開: 2010年5月26日1時25分頃 WASForum Conference 2010、オープニングセッションに続いて、ヤフーの松岡泰三さんによる「国民のためのウェブサイトを運営するID認証の舞台裏」。松岡さんは「R&D統括本部プラットフォーム開発本部セントラル開発1部」に属し、OpenID、OAuth、認証API、認証(ログイン)、ソーシャルプラットフォーム、ストレージプラットフォーム、外部サービス連携……といった諸々のお仕事をされているそうで。 今回のお話は大きく前後半に分かれていて、前半はYahoo!の認証に関する仕組みや統計データについてのお話、後半は外部サービスとの連携の話になっていました。まずは前半部分のメモから。 Yahoo! Japan ID の現在アクティブユーザ数 …… 2396万IDYahoo!ウォレットのユーザ数 …… 1900万Yahoo!プレミアムの会員数
今だから明かせる携帯電話のセキュリティ - Shiraの稀日記
昨日、ASForum Conference 2010が開催されました。携帯電話に関する話を聞くために参加しましたが、日本の携帯電話のセキュリティはひどいですね。 私は、かんたんログインを様々なサイトが実装しだした頃、いろいろなサイトでPCからのリクエストを携帯に変更してかんたんログインが可能かどうかを行ってみたところ、かなりのサイトでログインできました。以来、かんたんログインは絶対に利用しませんでした。今思えば、サイトに適切なアドバイスを行えばよかったと反省しています。 また、2007年から携帯電話のセキュリティに対して尋ねられた際は、「近い将来、JavaScriptが携帯で利用できるようになるので」携帯サイトに対してPCからアクセスする通常のサイトと同等のセキュリティ対策を行うべきと言ってきましたが、「現状は・・・・・・」といって避けられることがほとんどでした。今回のカンファレンスを受け
WASForum参加してきました@東京 - うみやま亭
今日WASForumというイベントに参加してきました。 現在のインターネットのセキュリティーについてのお話を、何人もの方がプレゼンしてくださいました。 学生の身分としては…とても難しかったのですが、学生の内に、自分の知らない範囲がたくさんあることを体感して、できるだけ、認識出来ている世界を広げる必要が有るかと思うので頑張ります。また、少しでも知識を入れて置く必要があると思います。 イベントで一番わかったことは… かんたんログインは滅亡すべき かんたんログインはひどいみたいでした… 携帯電話向けのサイトにおける、セキュリティ対策をPCと同じレベルで考えた方がいいとのことです。 あとは、どのような攻撃がされるのかと言う話で、JavaScriptをどのようにして実行させるかと言うことがお話されたりしましたが、これが意外に面白かったです。あの手この手を使って、組み込んでくると言うかなんというか…
WASForumに参加してきました - r-weblife
Program | Web Application Security Forum - WASForum WASForumまとめ - Togetter スコープを絞って考えたこと+自分用振り返りメモ。 内容を把握するためにこれを読むのは勧めません。 TogetterのYahoo! JAPAN松岡さんのセッションに関する反応への反応 ログイン3兄弟 ちなみに、「ログインシール」だけアメリカ生まれ。 シールにセキュリティ効果はあるのか? 効果の定義がわからないが、「設定してたはずなのに出ないときに少しでも疑う」ことができるユーザーなら、あとはSSL証明書やURL見て何か気付くのでは? 少しでもリスクが減らすことができるならあってもいいんじゃないでしょうか。 シールはProxyされたら終わりか? ブラウザ単位で、Cookieを利用しているようです。 「かんたんログイン」について リスクがあることを
WASForum 2010 - お前の血は何色だ!! 4
WASForum 2010に行って来ました。 http://wasforum.jp/ 高木先生の公演を聞きたかったので5000円払っていってきました。もちろん自腹ですw。 生で高木先生の公演を聞くのは初めてです。ドキドキ。 ちょっと遅れて会場入りしたんですが、無線LANが解放されていなかったっぽい? こんなこともあろうかとUQのWiMAXがあると颯爽に取り出したけど、電波状態が悪くてつながらず。 なんてこったい。 しかたないので、テキストエディタにメモを取る。 あと、こーゆー公演の資料が公開されないことは不幸だよな。。。 他の勉強会とかは資料は公開されるのに。 興味があったところだけ書いてみる。 Yahoo!の人の話 大切な処理ではたとえ認証中であってもパスワードを聞きましょうってことでパスワードを聞いているよって話しと、ログイン履歴やログインアラートなどの機能を提供しているよという話でし
2010-05-24
一番気になったのは、「ガラパゴスケータイ」という言葉。 私的には、ガラパゴス諸島はとても魅力的な場所であるのでガラパゴスケータイという名前はとても魅力的な響きがあるでのす。 世界遺産ですよ。フィーチャーフォンとか謎な単語に言い換えなくてもよいのではないでしょうかと。 あとは、OpenIDとかそこら辺はいまいちちゃんと理解できていない気がします。なんか、すっきりしない感が残るのですよね。 たぶん流れてる通信内容も含めて実は知っている気もするのですが、それをOpenIDというものだとしてみているかどうかというところかもしらんですけど。 一度、サンプルとかを自分で作んないとわからんのかな〜、帰ったらやってみようかな〜、と思いつつ、WASF終了時あたりではもう結構具合悪くて頭痛かったので、帰ってすぐに寝ました。そして、日曜日は世界樹の迷宮3を頑張ってやってました。 シャツも作り途中だし、あれもこれ
WASForum 2010 - 発声練習
WASForumに参加してきた。面白かった。なんとなく知っていたキーワードをちゃんと説明してもらって位置づけをはっきりすることができたし、今の流行りはどのあたりなのかを知ることができた。プログラムはこちら。Twitterの#wasfタグを使っていたらしい、それに関するつぶやきはTogetter:WASForumまとめにまとめられていた。 終始、高木さんがネタになっていたのは面白かった。そして、高木さんもそれを遠慮なく利用して、セッションハイジャックの実例を…。たのしいフォーラムでした。講演者のみなさま、開催者のみなさま、おつかれさまでした。 門林さん:オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 ちょいとあおり気味のオープニングセッションだった。 松岡さん:国民のためのウェブサイトを運営するID認証の舞台裏 Yahoo JapanにおけるID認証周
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ | 水無月ばけらのえび日記
WASForum Conference 2010: OpenIDのモバイル対応 ~ 認証基盤連携フォーラムの取組み他から | 水無月ばけらのえび日記
http://www.hash-c.co.jp/archive/wasf2010.html
http://bogus.jp/wp/?p=833
WASForum Conference 2010: オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 | 水無月ばけらのえび日記
WASForumまとめ
