トップ 最新

ただのにっき

2014-02-19(水) [長年日記]

OWASP Night 10thへ行ってきた

2月は「情報セキュリティ月間」なのでセキュリティ業界はイベント目白押しでやたらと忙しい。今夜もOWASP Night 10thがあったので行ってきた。実は直前になってDEFCON Japanが同じ日程、しかもCODE BLUEのために来日しているジェフ・モスの講演というおいしい企画をぶつけてきた。まぁOWASP Nightの方に先に申し込んでいたのでそちらへ行くんだけど。DEFCONには同僚に行ってもらうことにした。

OWASP AppSec APAC 2014*1が来月に迫っているということで、冒頭は上野さんによるセッションの解説で、これは意外と良かった。大規模なカンファレンスの「見どころ聴きどころ」を主催者目線で語ってもらうという機会はあんまりないけど、選考基準とかターゲットなんかを事前に知っていると役立つし、予習もできるしな。他のカンファレンスでももっとやればいいのに。

徳丸さんによる文字コードとXSSの話は、過去発見された7パターン(!)の脆弱性がどんなもので、現在どれくらいふさがっているか(IE6ですらだいたいふさがってる)という解説。一言でいうと「いいかげん使うのはUTF-8だけにしろ」が結論だった気もするが(笑)、しかしこの文字コードがらみの脆弱性は、これからもまだまだ出てきそうな気がするなぁ。

もうひとつの話……は書いていいんだっけ?

*1 未来の自分のためのメモ:「セキュリティチョットデキル」は現在開催中のソチ五輪の流れでプルシェンコが「ワタシハスケートチョットデキル」と書かれたTシャツを着ている写真が出回ったのに乗っかったもの。ただし件の写真はソチとは関係ない。OWASP Japanはさらに「ワタシハセキュリティチョットデキル」と書かれたTシャツをわざわざ作成し、今回のOWASP Nightで配っていた。けどこれ日本人にしか通じないだろ!