水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ

WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ

2010年5月22日(土曜日)

WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ

公開: 2010年6月3日0時45分頃

WASForum Conference 2010。Web2.0(ツーオー)の次は最後のセッション、「SDL脅威分析の方法とWindows Live IDにおけるアプローチ」。スピーカーはMicrosoftのJiong Luさん、お話は英語で通訳付きでした。

脅威モデル
脅威の"STRIDE"
  • Spoofing (なりすまし)
  • Tampering (改竄)
  • Repudiation (否認)
  • Information disclosure (情報漏洩)
  • DoS (サービス拒否)
  • Elevation of priviladge (権限の昇格)
脅威モデルのサンプル

シンプルな1ページのみのメールフォームの例。

  • 他人のメールアドレスを入れる …… Spoofing
  • 他人がそのメールアドレスを入れてデータを上書きできる? …… Tampering
  • Repudiation のリスクは無し
  • Information disclosure もリスクゼロ
  • DoS……
Live ID

……

……ありのまま今起こったことを話すと、手元のメモがここでぷっつりと途切れているわけですよ。この後はWindows Live IDの話が続いていたはずなのですが、メモが跡形もなく。

印象に残ったのは通訳の方で、この方がまたマニアックな脆弱性関連用語をさらっと訳したりしておられたわけですよ。事前の読み合わせなどもされているのでしょうが、それにしても凄いと思いました。

セッションはこれで終わりですが、最後に締めのディスカッションがあります……「クロージングディスカッション 脆弱性対策至上主義からの脱却」。

関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト