2013年2月13日

LOCAL DEVELOPER DAY ’13 / Infra & Security に参加した

2013/01/26にLOCAL DEVELOPER DAY ’13 / Infra & Securityが開催されたので参加してきた。

会場の札幌市生涯学習総合センター ちえりあは初めて行った。会場に到着したのはSession1が終わるころだったので、メモはSession2から。

ライブコーディングとデモで理解するWebセキュリティの基礎

  • 守るべきはシステムの稼働、情報資産、顧客の信頼
  • SQLインジェクション対策:DBMSが提供するバインド機構を使用する(エスケープ処理は非推奨)
  • 条件として全データからLIMMIT=1 AND OFFSET=n で各ユーザーになりすまし
  • OSコマンドインジェクション対策:APIがあればそれを利用する
  • クロスサイト・スクリプティング:HTMLエスケープ
  • 細工したサイトに誘導し、ログインユーザーとしてスクリプトを実行させる

時間切れにより途中までとなったが、デモで実際に攻撃が成立するのを見れたのは面白かった。

VPS はじめの一歩

  • 最初にまず、パスワードを変更する
  • さくらVPSは初期状態は「停止」
  • コンソールで変更してsshでログインを試す、方法をおすすめ
  • sshのrootログインを止め、wheelグループでの管理を行う
  • ポート番号「22」を変更する(ただし10022も使い古されている)
  • 公開鍵を使う
  • パスワードログインの停止は一長一短
  • iptablesによるパケットフィルタ

自分自身も仮想マシンでLinuxをいじって上記のことを調べたこともあったから、すんなりと話が入ってきた。

狙われる日本 ~国外から見た日本の情報セキュリティの現状と課題、これからの日本に必要なマルウェア対策~

  • 「セキュリティは大事」、何が大事なのか?
  • MacやLinuxにも問題はある
  • 日本は他国よりセキュリティ意識が高い
  • bootkitはMBRに書き込まれるため、OS再インストールしても残る
  • パスワードは盗まれなければ、素晴らしいシステム

実際に何が脅威なのか、がまだ意識できていない状態なのだろうな。

Free Software Way

  • 「本を読む」事は思想・考え方・政治信条に関係している
  • 過去の失敗から「図書館の自由に関する宣言」がある
  • 電子書籍は「何を読んだのか」の履歴の管理、閲覧可能/不可能の管理が可能
  • コンピュータ好きはなぜフリーソフトウェアを使うのか

「何で商売するか」を考えないと、なんでもかんでもオープンが良い、と考えるのは危険と感じている。

IT関係を仕事としていない人も多く参加しているのは北海道の特徴だとか。そういった繋がりを広げる意味でもこういったイベントは今後も参加していきたい。

2013年2月4日

車を買い替えた

年末に事故に会い、車は自走出来ない程に壊れてしまった。修理代金も結構な金額になってしまった。

思い入れのある車なので年末年始は直すかどうか悩んだ。

まずはMTに拘って探してみたが、今の時代MTに拘って探すと当然対象が少ない。

買い替えることに決心してから話がトントンと進み、決めた車が今日納車された。

2013年2月3日

勉強会ノートを1冊使いきった

IT勉強会に参加した時にメモをとっている。

最初は大学ノートを使っていたが、現在はいつかの勉強会でいただいたノートを使っている。そのノートが2013/1/19 第78回 CLR/H勉強会の時に1冊使い切った記念でこのブログを書いている。

このノートを見返してみると、一番最初はセキュリティ・プログラミングキャンプ・キャラバン2008のメモだった。これは2009/1/17に開催されたものだから、ほぼ4年経過している。

ノートPCを持ってから暫くはノートPCでメモを取っていたが、最近はまた手書きメモに戻った。そのほうが懇親会へ行くのに手軽で楽だから。

最近はメモを取っても感想ブログを書かないままであることが多くなってきた。なんとか時間を見つけて書いていきたい。