トップ «前の日記(2008/09/26(Fri)) 最新 次の日記(2008/09/28(Sun))» 編集

糸の切れた(たこ) ( a threadless kite )

ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。



2008/09/27(Sat) 土曜日ー。(前日:マッコリ、チャミスル→頭がんがん。orz

[イベント] 第02回 まっちゃ445勉強会

第02回 まっちゃ445目覚まし勉強会
    時間: 10時30分〜12時00分
    場所: 大田区産業プラザC会議室
    テーマ:「CVE-2008-1447を踏まえたDNS」(hitoさん)
    誰もが知ってるPHP4.4.9の脆弱性(大垣さん)
第02回 まっちゃ445勉強会
    時間: 13時00分〜16時30分
    場所: 大田区産業プラザC会議室
    定員: 60名
    講師: 現実的なWAFモジュールの実装とその運用 (サイボウズラボ 竹迫さん)
    WAF入門 〜原理、効果、限界〜 (徳丸さん)
    パネルディスカッション (大垣さん、園田さん、竹迫さん、徳丸さん)
第02回 まっちゃ445懇親会
    時間: 18時00分〜20時00分
    場所: ニイハオ別館
    定員 40名

第13回Admintech.jp勉強会@大阪でのブラウザ祭りにも惹かれつつも、、、

    第02回 まっちゃ445勉強会
    ↑ 左: 会場の「大田区産業プラザ」   右: “オープンソースが見つかりません”エラー ↑

    • 海外では「WAF」と言わないということは無さそう。>“Web Application Firewall (OWASP)
      ただ、Application layer firewall という呼び方もあったり、また、他の何かの略で「WAF」になるものが日本語より多いために埋もれてしまっているのかも。
      • PCIDSS 要件6.6 コードの見直しとアプリケーションファイアウォールの明確化
        次の条件を満たす必要があります: ポジティブとネガティブの両方のセキュリティモデルの実装。ポジティブモデル(「ホワイトリスト」)では、許可する動作、入力、データ範囲などを定義し、定義されていないものはすべて拒否します。ネガティブモデル(「ブラックリスト」)では、許可しないものを定義します。
      • 午前中の「目覚まし勉強会」で、大垣さんが、PHP に存在している Session Adoption の問題の話をするときに、Cookieファイルを読み取り専用にされた場合に session_regenerate_id が無力だという話をされていましたが、例えファイルが読み取り専用でも、(次回起動時はまた元に戻ってしまうとしても)その場限りでのセッションIDの更新は可能なので、ログイン成功時に session_regenerate_id をすれば、Session Fixation は防げそう。 無力とまでは言えない?
        • 懇親会、徳丸さんと大垣さんと竹迫さんと佐名木さんと太田さんが1つのテーブルに座ってたw 途中からさらに園田さんまで参戦w 豪華キャストでとても濃ゆい話題が飛び交っていたw