水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 第4回まっちゃ445 ライトニングトーク

第4回まっちゃ445 ライトニングトーク

2009年1月31日(土曜日)

第4回まっちゃ445 ライトニングトーク

更新: 2009年2月25日11時15分頃

第4回まっちゃ445に参加してみたので、まずはライトニングトークをざっとメモ。

ライトニングトーク1:「MD5コリジョンによる偽造SSL証明書について」(hitoさん)

MD5な証明書の話。

  • これはMD5の強衝突耐性が破られた話であって、弱衝突耐性が破られたわけではない。
  • つまり、同じハッシュ値を持つ2つの証明書を新しく作ることは可能だが、既存の証明書と同じハッシュ値を持つ証明書を作ることは困難。既に運用されている証明書に対して攻撃する手法ではないのだが、まともな日本語のドキュメントが出ていないため誤解されているようだ。
  • さらに通常、CAが発行する証明書のシリアルナンバーは予想不可能であるため、実際にコリジョンを起こすことは難しい。ただし、一部のCAはシリアルナンバーを連番にするなど予測可能であったため、それを利用して同一MD5ハッシュ値を持つ二つの証明書を新たに得ることが可能だった。それが問題となった。
  • 問題の本質は、一部のCAが攻撃できるような運用をしていたということと、そもそもSerial値以外にランダム値がないということ。
  • CA側での対応策は進んでいる。利用者が特に対策する必要はない。
ライトニングトーク2:「UNICODEによるXSSとSQLインジェクションの可能性」(徳丸浩さん)

今日は漢字の人。ひらがなは攻撃者モード?

  • 0x5cと0xa5の多対一の変換。多対一変換が起きるかどうかは実装依存。
    • ASPなど : U+00A5→?
    • PHP : U+00A5→全角
    • Java: U+00A5→0x5c
  • XSSはどうか? → JSの動的生成の場合のみ問題になる。動的生成するなと言いたいが……。
  • MS SQL Serverへのデータ格納時、Unicode文字データを格納する場合はnchar, nvarcharを使用する必要がある。そうでない場合CP932への変換が起こるっぽい。アクセントつき記号などが変換される。ブラックリストによるXSS対策 (たとえばはてなのCSSなど) の場合、XSS対策ルーチンを通過した後でSQL Serverに格納されてXSS、というパターンもありそう
  • 対策としては、異なる文字集合への変換を極力しない
ライトニングトーク3:「Sparkingしよう」(ゆまのさん)

MS DreamSparkの話。

  • 学生対象の無償プログラムでVisual StudioやらSQL Serverやらいろいろ使える
  • 国際学生証(ISIC)とメールアドレスが必要
  • 手続きは一分で完了。Verify→国際学生証のID入力
  • 商用利用は違反。STEM-D分野/非商用目的の調査目的に限定
  • 卒業しても使用を続けられる
  • 国際学生証は生協でもらえるほか、直接申請できる模様

MSはなにげにブラウザ+OSのVMイメージも配布しているそうな。これは便利かも。

ライトニングトーク4:「振り込め詐欺が無くならない」

振り込め詐欺の話。

  • 何故流行る? : 簡単なお仕事、初期投資が少ない、低リスクで億単位。創意工夫で頑張っただけ儲かる、やりがいのあるお仕事
  • 手口: 初期→オレオレ、その後→警察役、弁護士役などが登場する劇場型、今→ATMまで出向かせて指示、何故か振り込んでしまう。関西人は古典的な手口には強かったが、還付詐欺には良く引っかかる
  • 対策: 警察→メガバンクのATMに張り付き、出し子の写真公開。銀行→声かけを徹底、注意喚起メッセージ
  • 対策の効果は? : 警官が張り付くと、指示はプレッシャー大。効果はあり
  • 何故携帯電話? : 第三者に相談する隙を与えない。わざと小さな声で話して集中させたり。人間は、一度信用した人をあらためて疑うことはしないもの
  • ATM近辺でジャミングしたり、携帯が鳴ると注意喚起音声が流れるという対策もあるが……
  • 何故徹底しない? : 偽造カードの場合は銀行システムの脆弱性であり、銀行に責任があると考えられる。それに対し、振り込め詐欺の場合、振り込むのは振り込み者の意思であるし、銀行を介さずにバイク便で回収するパターンもあり、銀行に責任はない。
  • 振り込まれても、銀行は損しない。ジャミング→1台300万円、携帯使えないデメリットもある。どちらかというと、目新しい対策をしているというPR色が濃い。
  • 日本でフィッシング詐欺が流行らない理由 : 振り込め詐欺でどーんと儲かるから。フィッシングは頑張っても1000万くらいが限界だが、振り込め詐欺は頑張れば億に届く。
ライトニングトーク5:「ULCPCはDarwinの夢を見るか?」(yaizawaさん)

ULCPCでMacOSXを動かす話。

  • 実験機材 : MSI Wind Notebook (送料込みで44,954円)
  • インストーラ : 汎用のKalyWayと専用のMSIWindosx86がある。後者は利用者少ない、今後が不安、カーネル互換性無い部分ありなので、KalyWayを採用
  • KalyWay の DVD ブートで普通にインストール可能。ただし標準装備の無線カードは使用不能で、Dell DW-1390 / DE-1490 への換装が必要
  • アップデートはいろいろ難しいらしい。10.5.5へのアップデートはカーネルパニックが起きるので一工夫必要
  • 使い勝手 : Safari は問題ない。Mac としては画面小さい。QuickTimeに負荷をかけるとカーネルパニック
  • ベンチマーク : 初代 Mac Mini に全てにおいて負けている
  • 課題 : 10.5.6 へのアップデート、EULA対応
ライトニングトーク6:「モテエンジニアのススメ」(kawaさん@チームチドリ)
  • モテ力 = 魅力 * 出会い数 * 行動力。イチローでも3割
  • 男と女は違う : TCP と UDP くらい違う。ポート 80 に HELO しても駄目
  • 大きな違い : 幸せのツボのサイズが違う。スイートテンダイヤモンドは男性目線→毎日少しずつが大事
  • 中身で判断して欲しい? : 不細工なツボは選んでもらえない
  • 行動あるのみ : パケットを送らなきゃ始まらない。言い訳はいらない。行動しろ!
  • で、オチは?

関連する話題: セキュリティ / メモ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト