第10回セキュリティさくらに参加しました
今回参加2回目となる第10回セキュリティさくらに参加させて頂きました。
第10回セキュリティさくら : ATND
そこで今回聞かせて頂いた講演やLTについてメモしておきます。
講演「最新のスマートフォンセキュリティ事情」(竹森 敬祐 氏)
セキュリティさくらで初めて扱う内容であるスマートフォンセキュリティ(Android)についての講演でした。KDDI研究所に勤めていらっしゃる竹森氏のマシンガントークはとても面白く、濃いお話が聞けました。詳細は書きませんが、スマートフォンセキュリティについてWebからハードウェアまでの広い範囲でのお話で、圧倒されました。WebView危ない。PIZZA-LAの偽アプリのお話や、ワインプロトコルのお話も笑わせて頂きました。
LT 「今更聞けないCMSのセキュリティ」(@Shizumi0705 氏)
コンテンツマネージメントシステム - Wikipedia
今回Wordpressというブログソフトウェア(CMSでないという意見も)についてのLTで、Webセキュリティについてのお話が聞けました。
第三者によるユーザーサイトの改ざん被害に関するご報告 - 2013年08月29日 10時57分 / 新着情報 / お知らせ - レンタルサーバーならロリポップ!
ロリポップ!レンタルサーバー上にインストールされたWordPressを利用したWebページに改ざん被害があったことを今回初めて知り、原因に 1.WPインストールでの設定に不備があった 2.サーバー側のディレクトリパーミッションに不備があった ということでした。
- サーバ側の対策
- WordPress側の対策
- DBのテーブルプレフィックスを複雑に
- インストールディレクトリ名を複雑に
ファイルやディレクトリのパーミッションに気をつけよう。
LT 「身近に起こるセキュリティ問題」(9SQ 氏)
PCから少しでも離れる時はロックをかけよう!
2014年版 情報セキュリティ10大脅威:IPA 独立行政法人 情報処理推進機構
今後はスマートフォン周りのセキュリティが重要な課題になるなと思いました。
LT 「プログラミング言語とセキュリティ」(@wasao 氏)
定理証明支援系言語のCoqを用いた型証明あたりのお話でした(?)
セキュアで理想的なコンピュータを実現するためにカリー=ハワード同形対応でコンパイラやプログラムを考えるというもの(?)でした。
- Web用内部DSLを依存型を持ったIdrisで実装→SQLインジェクション、XSSを弾く
数理論理学 - Wikipediaのお話で、全く知識がない私には難しかったので、参考になるURLを貼っときます。
Coq - Wikipedia
カリー=ハワード同型対応 - Wikipedia
LLVM フレームワークで実用的なコンパイラーを作成する: 第 1 回
Idris (programming language) - Wikipedia, the free encyclopedia
IdrisでWebアプリを書く
Vellvm: Verified LLVM
英語読めるようにならないとなあ……
LT 「社内セキュリティ組織を作るのに必要なこと[BBAI]」(@greenz_greenz 氏)
あくまでフィクションのお話を聞かせて頂きました。セキュリティの為に周りの協力を得ることで力になる
が……
心証をよくする力。人間を見極める力。大切。人間ってこわい。
濃い、充実した時間を過ごせました。主催者、講師陣に感謝です。竹森氏の講演でスマホのWebアプリ危ないということでしたが、Webアプリが主体となるFirefox OSはどうなるんだろうと個人的に思った次第です。
また、ハードウェア面の知識が著しく欠けているのでそこらへんも頑張らないとなと思いました。