WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ
2010年5月22日(土曜日)
WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ
公開: 2010年6月3日0時45分頃
WASForum Conference 2010。Web
脅威モデル
- XSS, SQLインジェクション, CSRF……
- トラストバウンダリを考える (まさかのトラストバウンダリ (twitter.com))。
脅威の"STRIDE"
- Spoofing (なりすまし)
- Tampering (改竄)
- Repudiation (否認)
- Information disclosure (情報漏洩)
- DoS (サービス拒否)
- Elevation of priviladge (権限の昇格)
脅威モデルのサンプル
シンプルな1ページのみのメールフォームの例。
- 他人のメールアドレスを入れる …… Spoofing
- 他人がそのメールアドレスを入れてデータを上書きできる? …… Tampering
- Repudiation のリスクは無し
- Information disclosure もリスクゼロ
- DoS……
Live ID
……
……ありのまま今起こったことを話すと、手元のメモがここでぷっつりと途切れているわけですよ。この後はWindows Live IDの話が続いていたはずなのですが、メモが跡形もなく。
印象に残ったのは通訳の方で、この方がまたマニアックな脆弱性関連用語をさらっと訳したりしておられたわけですよ。事前の読み合わせなどもされているのでしょうが、それにしても凄いと思いました。
セッションはこれで終わりですが、最後に締めのディスカッションがあります……「クロージングディスカッション 脆弱性対策至上主義からの脱却」。
- 「WASForum Conference 2010: SDL脅威分析の方法とWindows Live IDにおけるアプローチ」にコメントを書く
関連する話題: セキュリティ / WASForum Conference / WASForum Conference 2010
