OWASPのレポート

2012/10/04日に行われたウェブセキュリティ勉強会/OWASP Japan OWASP JAPAN Local Chapter 3rd Meeting

Togetterにまとめました

HSTSの紹介

Yoshinori Takesako (Cybozu Labs)

Firesheepについて

Firesheepとは，第三者のWebブラウザと定義した通信しているセッションIDを盗聴することでHTTPセッションを奪い取る事を実現できるFirefoxのアドオンです．
[参考URL](http://d.hatena.ne.jp/kaito834/20101207/1291649005)

また，最近スターバックのフリー無線LANがセキュリティ的に問題があるとの声も
[参考URL](http://kabumatome.doorblog.jp/archives/65712160.html)

やっぱり安全なサービス作るにはやっぱりSSLだよね．

でも，きちんと設定していなとダメ
githubのSSL化
    set-cookie セキュアフラグがついていないためにCookieが平文で流れてしまっている．

そこで，HSTSについて

HTTPとHTTPS, 両方を提供しているサイトで，HTTPSの使用を強制する機能
[HSTSについての参考PDF](http://bit.ly/O9xgB2)

ただ，一度設定すると有効期間までHTTPを使うように設定するが出来ない．
なので，気軽に試すのは難しい．

Webサイトで全てSSL課するときは
    httpsに変更
    secure属性を付ける

質問

安全で安いSSLの証明書を安く買うのは？
    >ワイルドカードSSL証明書を買えばいい

どんくさいWebセキュリティ

はせがわようすけ氏

各サービスに対して脆弱性の報告し，そのレスポンスをおもしろおかしく話して頂いた．
早すぎたので，メモれなかったけど，
対応している側の苦労も分かってあげてくださいとの事．

Hardening Oneの紹介

Katsuhiko Nakanishi (Hardening One Committee)

全く新しいセキュリティイベントHardening One
1チーム4人〜6人で構成された8チームがECサイトのハードニング（堅牢化）の強さを競う．
競技時間は8時間．アプリ，サーバ，ネットワーク，DB，ログ監視，インシデントレスポンス，ユーザコミュニケーション等の能力が要求される．
評価方法は売り上げ金額で競うそうです．

Webアプリケーションセキュリティ要件書

Sen Ueno(OJ leader), Hiroshi Tokumaru(HASH Consulting), Yukihiro Nowatari(Cyber Agent)

プログラム開発の際に，セキュリティ要件定義書作っていますか？
>一同手を挙げる(笑)
サービスを立ち上げるたびにセキュリティ定義書を作っていては大変なので，
汎用的なセキュリティ要件定義書があればいいと思いませんか？

OWASPはトライコーダ社の資料をベースとして汎用的なセキュリティ要件定義書を作成しています．
目標は2012年10月頃だそうです．

質問

海外のセキュリティ事情ってどうなってるの？
    >雑感だけれど，海外の方が平均的に日本より低い

大阪のサテライト会場の様子

もちろんこの両隣の部屋も同じように会場が満席でしたw