第10回まっちゃ130勉強会に行ってきました
17日の土曜日に、第10回まっちゃ139勉強会に行ってきました。風邪気味でいろんな人に心配をかけたりうつしまくったりしたみたいで申し訳ないです。以下、感想とか。
目覚まし勉強会「RSS Feed Readerへのスクリプトインジェクション」(はせがわ)
内容としてはあまり大したことないです。いちおう資料をこのあたりにおいておきます。Sage みたいに、Firefox を利用する RSS Feed Reader だと、data: スキーマと組み合わせて RSS Feed 内に Flash を埋め込んでしまうと、もっといろいろできるのかも知れないですね。
目覚まし勉強会「コードジェネレータとフレームワークのセキュリティ」(いけぴょんさん)
Webアプリケーションの作成経験がない人に、実際にフレームワークを使ってWebアプリケーションを作成してもらい、それに対して検査ツールでどの程度脆弱性が残っているのかを調査、ということだそうです。
フレームワークとかを利用するにしても、結局はそのフレームワークが何をやってくれて何をやってくれないのか、どんな方法で対策してくれるのかということを把握していないとダメなんだろうなぁとボンヤリと思っていたのですが、午後の勉強会でも同じような話がでていて、そう思うのは自分だけではないのを実感した次第です。
SQLインジェクションデモ(まっちゃだいふくさん)
実際にSQLインジェクションのあるデモアプリケーションを一晩がかりで作成したそうで。ご苦労さまでした。
SQLインジェクションに関するパネルディスカッション(河端さん、luminさん、bunさん)
詳細はこのあたりに書きましたので参考にしてください。
とりあえず、メモを取る際はできるだけ話している人の意図を汲み取ろうとはしていたのですが、必ずしもできているか不明ですので、「そんなこと言ってないよ」という人がいましたら教えてください。
それはそうと、話を聞きながら思ったのですが、河端さんってお客さんに対してすごく真摯な対応してるなぁと話の随所から感じました。開発する前にきちんとSQLインジェクションの説明(技術面だけでなく被害想定などの経営的な話まで)をしたり、明らかに客先原因でパフォーマンスがでない場合でもそれを証明するためにお客さんのソフトをちゃんと解析してあげたり…。いい人だなぁと改めて思いましたです。
