[イベント] * 第02回 まっちゃ４４５勉強会

---

textile第02回 まっちゃ４４５目覚まし勉強会時間: 10時30分〜12時00分 場所: 大田区産業プラザC会議室 テーマ:「CVE-2008-1447を踏まえたDNS」（hitoさん）誰もが知ってるPHP4.4.9の脆弱性(大垣さん) 第02回 まっちゃ４４５勉強会時間: 13時00分〜16時30分 場所: 大田区産業プラザC会議室 定員: 60名 講師:現実的なWAFモジュールの実装とその運用 （サイボウズラボ 竹迫さん）WAF入門 〜原理、効果、限界〜 （徳丸さん）パネルディスカッション (大垣さん、園田さん、竹迫さん、徳丸さん）第02回 まっちゃ４４５懇親会時間: 18時00分〜20時00分 場所: ニイハオ別館 定員 40名

• 第13回Admintech.jp勉強会＠大阪

---

でのブラウザ祭りにも惹かれつつも、、、↑　左： 会場の「大田区産業プラザ」　 右： “オープンソースが見つかりません”エラー　↑海外では「WAF」と言わないということは無さそう。＞“* Web Application Firewall (OWASP)

---

”ただ、* Application layer firewall

---

という呼び方もあったり、また、他の何かの略で「WAF」になるものが日本語より多いために埋もれてしまっているのかも。

• PCIDSS 要件6.6 コードの見直しとアプリケーションファイアウォールの明確化

---

textile次の条件を満たす必要があります： ポジティブとネガティブの両方のセキュリティモデルの実装。ポジティブモデル（「ホワイトリスト」）では、許可する動作、入力、データ範囲などを定義し、定義されていないものはすべて拒否します。ネガティブモデル（「ブラックリスト」）では、許可しないものを定義します。

午前中の「目覚まし勉強会」で、大垣さんが、PHP に存在している Session Adoption の問題の話をするときに、Cookieファイルを読み取り専用にされた場合に session_regenerate_id が無力だという話をされていましたが、例えファイルが読み取り専用でも、（次回起動時はまた元に戻ってしまうとしても）その場限りでのセッションIDの更新は可能なので、ログイン成功時に session_regenerate_id をすれば、Session Fixation は防げそう。 無力とまでは言えない？懇親会、徳丸さんと大垣さんと竹迫さんと佐名木さんと太田さんが１つのテーブルに座ってたｗ　途中からさらに園田さんまで参戦ｗ　豪華キャストでとても濃ゆい話題が飛び交っていたｗ