2015年09月の#ssmjp まとめ


#ssmjp 向かってる(埼京線乗り間違えませんように埼京線乗り間違えませんように埼京線乗り間違えませんように埼京線乗り間違えませんように埼京線乗り間違えませんように)
会場のビル地下1階のローソンは、改装工事でお休みしています。飲み物等は、イオン(スーパーマーケット)で調達するのが良いかと思います。 #ssmjp
毎度で申し訳ないですが、遅れます #ssmjp
もしかして、喋る人全員遅刻? #ssmjp
#ssmjp 入場した(「発表順最後だし会場で資料作れるよね」とか考えてはいけない)
9月のssmjpもうすぐ始まりますよー!
#ssmjp
1Fの100均でも飲み物売ってます。後安くないけど会場付近に自販機もあります。 #ssmjp
しかし登壇者の方が遅刻気味なので、久々の「最初から休憩」が発生しような予感www
#ssmjp
#ssmjp の日は毎回何かが起きて時間通りに会場に到達できない
他の!
登壇者の方が!
いらっしゃった!
ありがとうございます!ありがとうございます!
(資料つくりながら) #ssmjp
#ssmjp ビッグローブで延々と洗脳しに掛かってる玉木碧のかんたん節約レシピ「音声通話SIM」編よりも、悠木碧のかんたん節約レシピ「音声通話SIM」編ほしい。
ikepyonさんの「セキュリティ診断ツールってぶっちゃけどうなのよ?」です。#ssmjp
セキュリティ診断ツールの説明。検査タイプとしては動的検査(DAST)と、静的検査(SAST)がある。
#ssmjp
OK、 #ssmjp に侵入した。 (@ ビッグローブ株式会社 (BIGLOBE Inc.) – @biglobe in 品川区, 東京都) swarmapp.com/c/bPA4zj5OXDz
動的検査の特徴は脆弱性が存在して顕在化すること確認できる。欠点としては、ソースコードのどこに問題があるかわからない。稼働するアプリケーションが必要なためテスト工程以降での実施となってしまう。#ssmjp
動的検査の欠点は、ソースコードのどこを直せば良いか指摘できない、対象が完成してる必要があり、診断の結果修正することでさらに工数が… #ssmjp
動的検査の場合、稼働してないとダメなので後戻りになるのは割と大変。#ssmjp
静的検査の場合は、コードだけで診断できるので、コードを書いたらすぐ検査して修正ことができる。網羅性が高い。ただし、過剰検知などの可能性があり #ssmjp
静的検査の特徴は「脆弱性のある可能性を検出する」「コード上の脆弱性を治すべき場所をピンポイントでわかる」「コードだけで検査ができる」「コードを全て確認するため網羅性が高い」欠点は過剰検知(検出されたものが必ずしも悪用されるわけではない)
#ssmjp
そうか当たり前だけど静的検査はコードが読めないとダメだからセキュリティの知識だけだとダメなんだな。 #ssmjp
手動検査は属人化の問題や多く工数がかかる。でも、検出が精密だったりする。対して自動検査は専門知識がなくても一定の品質の検査ができる。工数が短縮できる。でも検出漏れの可能性がある。ロジカルな特殊なパターンに対応できない。 #ssmjp
自動診断だと複雑な条件の必要な脆弱性は見つけにくい。#ssmjp
このツールの機能分類はなかなか興味深いな。面白い。
#ssmjp
判りやすい診断手法の簡単な説明。これは前の現場に入る前に聞いておきたかったw #ssmjp
複数テストリクエスト送信型は違うパラメータと正しいパラメーターを送ってちゃんと正常じゃないか判断する
#ssmjp
ネィティブアプリ開発用のIDEが持ってる自動テストツールと比べて、ソースは自動解析してくれないんだなあ。#ssmjp
バックコネクション型やっている商用検査ツールって正直どのくらいあるのかな?burpのコラボレーター機能とかがまさにそれだけど。
#ssmjp
動的検査ツールはゲーム系のセキュリティ診断には向かない #ssmjp
脆弱性の判断は事前にルールが登録されていて、これをもとに判断する
#ssmjp
ゲーム系は動的ツールでのセキュリティ検査が難しい。なるほど、チート対策とかもあるし、毎回同じ結果が帰ってきてたらゲームにならないしw #ssmjp
動的検査ツールはゲーム系のセキュリティ検査では毎回レスポンスが変わるので役立たない。その他、ジョブをキューに溜めて、バッチで一括処理する場合だったり、同一処理を行える回数に制限があるアプリケーションもむりぽ #ssmjp
検査リクエストの影響でバッチがコケちゃうのはよくあるw
#ssmjp
セキュリティ検査の動的判断はゲームに向かない
#ssmjp
静的検査は言語、フレームワークが統一されてないと、精度が高い検査ができない
#ssmjp
静的検査ツールは、言語・ライブラリ・フレームワークに統一性がないとカスタムルールが作れないため、検査をするための手間がかかる。誤検知が多いため、結果の精査が必要。 #ssmjp
そうなんだよなー。静的検査ツールの問題点はマジで過検知なんだよ。まさに。結局検査時間自体は速いけど、結果を判別したり精査したりするのに工数がかかってしまうから、検査がすげー早くおわりますとか自動ですぐできるとか言いまくって販売しないでほしい。ってちょっとおもうw 
#ssmjp
動的検査ツールは使いこなすのが大変
#ssmjp
静的検査ツールは使い方が上手く展開できないケースが多い。
開発者が上手く使いこなせず、結果が怪しくなる #ssmjp
開発者自ら動的検査ツールを使おうとすると、開発者が多いとうまく使えないケースが多い気がする。なるほど、それはありそう。 #ssmjp
動的検査ツールは、開発者に使わせるより、QAチームの一環でやったり、外注の受入テストとしてやるといい。 #ssmjp
QAチームが使ってる場合は、うまくいくことが多いけど、件数に寄ってはQAチームが死ぬ #ssmjp
動的検査ツールは外注さんの受け入れ検査によい。#ssmjp
あまりにひどい脆弱性がありまくるコードに静的解析ツールかけると結果がでまくってワケワカメになるとw
#ssmjp
静的検査ツールは開発者のレベルが低いと脆弱性が出すぎて、結果の精査も難しいので修正が出来ない。 でも、それは世の中に出しては行けないコードですよね… #ssmjp
静的検査ツールは脆弱性が数万件検出されるなど、検出されすぎて検査ができなかったり修正もできない。開発を外注している場合は効果が薄い。開発者のレベルが高いとケアレスミスくらいしかないので、脆弱性がないことを確認してテストを実施できる。手戻り工数が減る。 #ssmjp
ツールで検査されてるって分かっても、診断料金って結構するんですよね。#ssmjp
@yakumo3 セキュリティ検査以前にコードのテストが必要な気がw #ssmjp
開発チームに静的検査ツールを入れて、QAや受入テストで動的検査ツールを使うのが良いでしょう。 #ssmjp
動的解析ツールは割と誰でもわかるようなガイド付きでレポート出してくれるが、静的検査ツールはコードを読まないと脆弱性の修正ができないので開発チーム以外への導入は向かない #ssmjp
最初のめっちゃ聞きたかったのにめっちゃ遅れた #ssmjp
検査ツールを過信せず、IDSやIPS、WAFを入れるのも大事。 #ssmjp
#ssmjp 到着〜。脆弱性監査ツール?のお話だった。初めから聞きたかった……
オフレココーナー。なるほど。#ssmjp
動的検査で診断してもらう機会あったけど、ゲームなのでOS/ミドルウェアくらいしか診断結果出てこなかったな #ssmjp
5470×3さんの「ストックフォトあれこれ」です。#ssmjp
ス○なんとかさんですね、わかります #ssmjp
#ssmjp なう (@ ビッグローブ株式会社 (BIGLOBE Inc.) – @biglobe in 品川区, 東京都 w/ @niratama) swarmapp.com/c/dNszYF90ULa
ファイヤーエンブレム事件のお話がw
#ssmjp
伏せ字のところは当然会場では読みますよね。えぇ、あれは伏せないとダメですね。#ssmjp
わあwどこかで見たことのあるサイトww #ssmjp
事例に思わず「へー」とコメントしてしまうw
#ssmjp
404お姉さんは世界一有名な妹キャラだった #ssmjp
エンジニア転職の広告センシティブじゃ無いのか #ssmjp
写真のセンシティブな悪い使い方は、「○○○さんの感想です!」勝手に使われることとか。 #ssmjp
これだけ見ると、年収低い女の子は駄目に見える #ssmjp
家を撮られたくなかったら、家を寺社仏閣にすれば良いのか #ssmjp
セキュリティ関連の方が今日は多いのかな。ツイが増えてきた感じがw #ssmjp
「web上なら追えるけど, 印刷とかされたらどうしようもないですよね」と #ssmjp
Gentooを本番環境で使っている会社、いったいどこなんだ……(棒 #ssmjp
Linuxのことをよく知らないので勉強していこうっと #ssmjp
ウルトラスーパーGentooタイム #ssmjp
自己紹介をまとめると、つまり変態ってことじゃないかw #ssmjp
usaturnさんのアドテク企業におけるgentoo linuxのお話。#ssmjp
某社ってもう完全にネタになってるw
#ssmjp
紅だぁああああああああぁぁぁぁあー!!!! #ssmjp
「赤い血の十字架を背負っている」ww #ssmjp
Gentooをインストールするまで人として認められない! #ssmjp
思ったよりもこの某社ヤバいぞ #ssmjp
Gentooをインストールできないと、人として認めてもらえないらしいw
#ssmjp
Lisperには悪い奴しかいないと思っている #ssmjp
某社ではモヒカンが闇を生み出していた模様 #ssmjp
Portageがシンプルでもびるどはシンプルではないきがしますが #ssmjp
彼は言った「Slackwareなんぞクソだ」 #ssmjp
なるほど、offensive=攻撃的態度ということですか。#ssmjp
選択肢がたくさんあるせいでGentooって書いてある情報でも使えないのありそうだな #ssmjp
一品ものの何かに使うなら選択肢にもなろうが #ssmjp
mazgiさんのproduction service with gentoo linuxのお話。#ssmjp
今日はWeb広告に詳しくなる日だなぁ #ssmjp
「RTB→Web広告が表示される瞬間に広告枠のオークションをして配信される広告が来まる」何それそんな事やってるの!? #ssmjp
50msecオーダーってweb業界でもあるんだ。。。#ssmjp
謎のコスプレ写真サイトが好きというカミングアウトが #ssmjp
Web広告配信の仕組みってこうなってたのか。 #ssmjp
ほんとに全部Gentoo上で動かしてるのかw #ssmjp
「システムがGentooで動いてる銀行はちょっとw」それは完全に同意する #ssmjp
伝統的にAnsible。つい最近だと思っていたけど、もう伝統と言えるくらいに歴史があるのか。 #ssmjp
不思議だ、Gentooを居れてみようかなって気になってきてる #ssmjp
20年前にFreeBSDのportsで経験したようなお話> Xの依存性外すオプションとか #ssmjp
Portageでgolangのvendoringとか(妄想) #ssmjp
ビッグローブまじビッグローブ #ssmjp
#ssmjp の懇親会。 (@ PRONTO 品川シーサイドフォレスト店 – @pronto_pr in 品川区, 東京都 w/ @niratama) swarmapp.com/c/c1MJSgeHbQh
ひさびさにLinuxというかGentoo 触ってみようと思った #ssmjp

コメントを残す