2007/07/05(木)木曜日ー。(見てるだけ〜。)
[雑談] 「お客様のスクリプトにより負荷がかかっております」昨日、リファラスパムを延々と打ち込みまくられていた(-_-;みたいで、ホスティング業者から、著しい負荷がかかっているから一時的にスクリプトの実行を止めるね、と通知を受けました。orz 色々と対策らしきことをして現在は様子見中〜。 そんな訳で・・・、嫌ってませんから!w >* まっちゃさん
[セキュリティ] * 書籍: 「ウェブアプリケーションセキュリティ」 (JUMPERZ.NET)
金床さんが執筆された書籍が、7/20(金) に発売されるそうです。 490ページ、4,600円。[雑談] * ブログちゃんねる: 中一の妹の生活ノートうpする
妹と、“人生に疲れた” 先生との「生活ノート」。 やる気の無いコメントが笑えますw関連: * 中一の妹の生活ノートうpする [続き]
、* [続きの続き]
、* [完結!]
[セキュリティ] * 京都銀行 個人情報のセキュリティを強化 (ITPro)
顧客が記入した伝票の原本を保管している、京都銀行の「書類保管ルーム」の話。 書類が入っている各ダンボール箱に ICタグがつけられており、関係のないダンボール箱は、故意でも過失でもゲートから外に持ち出せない仕組みになっているとのこと。 また、原本は原則としてセンター外には持ち出させず、参照の要求があった場合にはスキャナで取り込んでネットワーク経由で閲覧させるとのこと。[雑談] * 無意識の力で早起きをするテクニック (Lifehacking.jp)
“一見気が狂ったんじゃないだろうかという動作” を繰り返して身体に覚え込ませるらしいw[セキュリティ] * 「USBメモリを安易につながないで」、IPAがウイルス感染の注意喚起 (ITmedia)
は、感染しないように要注意ですねw Windows Vista だと、初期設定で、CD-ROM などと同じように USBメモリでも、Autorun.inf での自動実行がされてしまうんですか?! 怖いw 「CDまたは他のメディアの自動再生」は「何もしない」に設定しておきましょう♪
関連: * コンピュータウイルス・不正アクセスの届出状況 [6月分および上半期] (IPA)
[イベント] * Web Application Security フォーラム 第5回 コンファレンス
WASF カンファレンスで、高木先生のセッションを聞いて来ました〜♪ 「Webアプリケーションセキュリティとロギング」ということで、ACCS事件を事例として挙げ、現状の Webサーバが残すログ(GET のみ)だと、POST での攻撃が残らないという問題点からパネルディスカッションがスタートしました。パネラーによって、ログの種類には、パケット全体(tcpdump、PBHなど)、HTTPプロトコルレベル(WAF、リバースプロキシなど)、Webサーバ(IIS、Apacheなどの標準のもの)、Webアプリが残す独自のログ が考えられると分類が示されました。 その後、改ざん検知や時刻証明のためのデジタル・タイムスタンプの話や、大規模サイトでは 1秒間のログが数万行にもなってしまい全てを残しておくことやそれを解析することが困難であるとの話や、ログには個人情報が含まれるため該当パラメータをマスクしてログに残している事例の話や、ログを全て残すのではなくサンプリングで残す話の良し悪しなどが、パネラー&会場の参加者からありました。今回の話を聞いていて私が思ったのは、やはり色々なレイヤーでのログを残して置くことが必要だなぁということですね。 それぞれのレイヤーで残せる内容も違いますし、何が起きたのかで調べたい場所も違いますものね。 POST のデータを残しておくことは今後本当に必要&スタンダードになっていくと思いますが、例え、GET/POST の内容が残っていたとしても、そのリクエストの結果どうなったのかということは、WAF や Webサーバのログではステータスコードと転送バイトくらいしか残らないので、例えば、決済のようなアプリの処理が成功したのか失敗したのか、どのユーザIDでログインした人間が行ったのかなどは、Webアプリが独自に残すログに頼るしかありませんものね。 あとで突合せが出来る形式で、GET/POST のログ、Webアプリ上の処理のログ、SQLのログなどをそれぞれ残すことが必要そうに思えました。 (そう言えば、普通の POSTデータは残せるとしても、multipart(特にファイルアップロード)のログは 1行 1リクエスト形式で残すのは困難ですね。 どう残しましょう? filename= があるパラメータだけ除くとかですかね?(^-^;)[雑談] * 軽くて指穴の大きいボウリングのボール求む! (ExciteBit)
いつも、何で無いんだ!と思ってましたが、それなりに理由があったのね。(^-^;
[セキュリティ] * 書籍: 「ウェブアプリケーションセキュリティ」 (JUMPERZ.NET)
金床さんが執筆された書籍が、7/20(金) に発売されるそうです。 490ページ、4,600円。[雑談] * ブログちゃんねる: 中一の妹の生活ノートうpする
妹と、“人生に疲れた” 先生との「生活ノート」。 やる気の無いコメントが笑えますw関連: * 中一の妹の生活ノートうpする [続き]
、* [続きの続き]
、* [完結!]
[セキュリティ] * 京都銀行 個人情報のセキュリティを強化 (ITPro)
顧客が記入した伝票の原本を保管している、京都銀行の「書類保管ルーム」の話。 書類が入っている各ダンボール箱に ICタグがつけられており、関係のないダンボール箱は、故意でも過失でもゲートから外に持ち出せない仕組みになっているとのこと。 また、原本は原則としてセンター外には持ち出させず、参照の要求があった場合にはスキャナで取り込んでネットワーク経由で閲覧させるとのこと。[雑談] * 無意識の力で早起きをするテクニック (Lifehacking.jp)
“一見気が狂ったんじゃないだろうかという動作” を繰り返して身体に覚え込ませるらしいw[セキュリティ] * 「USBメモリを安易につながないで」、IPAがウイルス感染の注意喚起 (ITmedia)
- セキュリティ推進室の美穂ちゃん
は、感染しないように要注意ですねw Windows Vista だと、初期設定で、CD-ROM などと同じように USBメモリでも、Autorun.inf での自動実行がされてしまうんですか?! 怖いw 「CDまたは他のメディアの自動再生」は「何もしない」に設定しておきましょう♪
関連: * コンピュータウイルス・不正アクセスの届出状況 [6月分および上半期] (IPA)
[イベント] * Web Application Security フォーラム 第5回 コンファレンス
WASF カンファレンスで、高木先生のセッションを聞いて来ました〜♪ 「Webアプリケーションセキュリティとロギング」ということで、ACCS事件を事例として挙げ、現状の Webサーバが残すログ(GET のみ)だと、POST での攻撃が残らないという問題点からパネルディスカッションがスタートしました。パネラーによって、ログの種類には、パケット全体(tcpdump、PBHなど)、HTTPプロトコルレベル(WAF、リバースプロキシなど)、Webサーバ(IIS、Apacheなどの標準のもの)、Webアプリが残す独自のログ が考えられると分類が示されました。 その後、改ざん検知や時刻証明のためのデジタル・タイムスタンプの話や、大規模サイトでは 1秒間のログが数万行にもなってしまい全てを残しておくことやそれを解析することが困難であるとの話や、ログには個人情報が含まれるため該当パラメータをマスクしてログに残している事例の話や、ログを全て残すのではなくサンプリングで残す話の良し悪しなどが、パネラー&会場の参加者からありました。今回の話を聞いていて私が思ったのは、やはり色々なレイヤーでのログを残して置くことが必要だなぁということですね。 それぞれのレイヤーで残せる内容も違いますし、何が起きたのかで調べたい場所も違いますものね。 POST のデータを残しておくことは今後本当に必要&スタンダードになっていくと思いますが、例え、GET/POST の内容が残っていたとしても、そのリクエストの結果どうなったのかということは、WAF や Webサーバのログではステータスコードと転送バイトくらいしか残らないので、例えば、決済のようなアプリの処理が成功したのか失敗したのか、どのユーザIDでログインした人間が行ったのかなどは、Webアプリが独自に残すログに頼るしかありませんものね。 あとで突合せが出来る形式で、GET/POST のログ、Webアプリ上の処理のログ、SQLのログなどをそれぞれ残すことが必要そうに思えました。 (そう言えば、普通の POSTデータは残せるとしても、multipart(特にファイルアップロード)のログは 1行 1リクエスト形式で残すのは困難ですね。 どう残しましょう? filename= があるパラメータだけ除くとかですかね?(^-^;)[雑談] * 軽くて指穴の大きいボウリングのボール求む! (ExciteBit)
いつも、何で無いんだ!と思ってましたが、それなりに理由があったのね。(^-^;