Shibuya.XSS テクニカルトーク#1 : ATND
大人気イベントに何故か3番目で申し込むことが出来ていたので行ってきた。ちょっと書くわけにはいかないような話や怖い話もあったりして楽しかった。とりあえずTwitterでの呟きだけメモ代わりに残しておく。
#shibuyaxss キター @ 株式会社ミクシィ(mixi, Inc.)なう URL
自重せずにピザとビール始めてる #shibuyaxss
XSSによるパスワード盗み対策例: パスワード入力させるようなところは"login.example.com"のようにサブドメインにしておき、他に余計な機能をつけないようにする #shibuyaxss
パスワード入力するようなページでは外部JS絶対ダメ! あとパスワードが盗まれたりしても影響が少ないように設計しておく #shibuyaxss
まとめ:「DOM Based XSSは意外とたくさんあります」「XSSがあっても安全にすることを考える」 #shibuyaxss
セキュリティに関することをお金に換算することは難しい。報告してくれたヒトに肉を奢ることで技術者同士の交流がうまれるならそれは良いことかもしれない #shibuyaxss
@sugyan 早くうちのXSS報告して焼肉奢らせてください。
2012-04-04 19:40:20 via web to @sugyan
焼肉たべたいしもっとXSSのこと勉強しよう
hidden属性やdisplay:none;は防げても indentで見えないところに追いやったり小さい領域に隠されたりは防げない。 x-autocompletetypeは「使っちゃダメ、絶対!」 #shibuyaxss
たけさこさん、ノッてます #shibuyaxss
実サービスのクローンを戦場にすることでより実践的な脆弱性攻撃を体験できる。 開発時のcommitログから"XSS対応"とか探せば問題を仕込むのもやりやすい #shibuyaxss
実際に攻撃されてサーバを改竄された体験談と対応の話。こわい。。 #shibuyaxss
裏LTでみんな自由に喋ってて怖い話が飛び交ってる #shibuyaxss
パスワード解くのには意外とお金かからない。パスワード管理ソフト、ジェネレータしっかり使うべき #shibuyaxss
