2013/01/26に LOCAL DEVELOPER DAY ’13 / Infra & Security が開催されたので参加してきた。 会場の 札幌市生涯学習総合センター ちえりあは 初めて行った。会場に到着したのはSession1が終わるころだったので、メモはSession2から。 ライブコーディングとデモで理解するWebセキュリティの基礎 守るべきはシステムの稼働、情報資産、顧客の信頼 SQLインジェクション対策:DBMSが提供するバインド機構を使用する(エスケープ処理は非推奨) 条件として全データからLIMMIT=1 AND OFFSET=n で各ユーザーになりすまし OSコマンドインジェクション対策:APIがあればそれを利用する クロスサイト・スクリプティング:HTMLエスケープ 細工したサイトに誘導し、ログインユーザーとしてスクリプトを実行させる 時間切れにより途中までとなったが、デモで実際に攻撃が成立するのを見れたのは面白かった。 VPS はじめの一歩 最初にまず、パスワードを変更する さくらVPSは初期状態は「停止」 コンソールで変更してsshでログインを試す、方法をおすすめ sshのrootログインを止め、wheelグループでの管理を行う ポート番号「22」を変更する(ただし10022も使い古されている) 公開鍵を使う パスワードログインの停止は一長一短 iptablesによるパケットフィルタ 自分自身も仮想マシンでLinuxをいじって上記のことを調べたこともあったから、すんなりと話が入ってきた。 狙われる日本 ~国外から見た日本の情報セキュリティの現状と課題、これからの日本に必要なマルウェア対策~ 「セキュリティは大事」、何が大事なのか? MacやLinuxにも問題はある 日本は他国よりセキュリティ意識が高い bootkitはMBRに書き込まれるため、OS再インストールしても残る パスワードは盗まれなければ、素晴らしいシステム 実際に何が脅威なのか、がまだ意識できていない状態なのだろうな。 Free Software Way 「本を読む」事は思想・考え方・政治信条に関係している 過去の失敗から「図書館の自由に関する宣言」がある 電子書籍は「何を読んだのか」の履歴の管理