memocon プログラミングのメモや物欲日記、雑記等

江戸前セキュリティ勉強会(201505)に参加してきた

2015年05月30日 23時31分

江戸前セキュリティ勉強会(201505)に初参戦してきました。
https://sites.google.com/site/edomaesec/workshop/edomaesec201505

徳丸さん目当てだったのですがファミコンエミュレータの話とか保険の話とか幅広い分野の発表が多くて楽しかったです。

勉強会の雰囲気も進行役のまっちゃだいふくさんのトークが面白いからか会場全体の雰囲気が良かったです。

そう感じたのは最初の自己紹介タイムで周囲の人と話し合ったってのも大きかったような気がする。
自己紹介の方法がみんなに向かって話すんじゃなくて奇数列の人が後ろ向いて偶数列の人と自己紹介し合うという方法でした。
やっぱ一声掛け合って隣に座っている人が何者なのか知っているとちょっとしたことの感じ方がだいぶ違ってきますわな。

あと、おやつタイムに出てたおやつ、とても美味しかったです!

以下、要点まとめ

SQLインジェクション対策もれの責任を開発会社に問う判決 / 徳丸さん

SQLインジェクション対策もれの責任を開発会社に問う判決
http://blog.tokumaru.org/2015/01/sql.html

「重過失を認めると著しく均衡を欠くので重過失の際は損害賠償責任制限は適用されない」

重過失と認められた場合は、契約書で損害賠償金の上限を定めていても請負金額を突き抜けて請求されることがあるということ。

こうなると重過失とはどう判断されるのか。
それは要件定義に記載がなくても暗黙的に実装されるであろう期待されている 専門家としての責務 がどこまでか、ということ。

一定の基準として参考になるのは経産省やIPAが公開している脆弱性。
これらは確実に潰しておく必要がある。

IPA 独立行政法人 情報処理推進機構:情報セキュリティ
http://www.ipa.go.jp/security/

ファミコンエミュレータの開発話 / 河口さん

某専門学校生時にアセンブラでゲーム作ったのを思い出した。懐かしい。
けどなぜこの勉強会でこの内容なんだw

サイバー保険を分析してみた / 相戸さん

色々と公開規制w めちゃ面白かったです。

LT

## React.js に XSS 対策を求めるのは間違っているだろうか / くらりどさん

スライド
http://www.slideshare.net/katoryo399/reactjs-xss-48686124

## Dom based XSSの話 / kyo_agoさん

htmlのレンダリングがサーバサイドからクライアントサイドになってきたけど
Virtual DOM だとDOM Based XSSがおきない!

おまけ話でExtensibleWebというのを紹介。
ブラウザで低レイヤーAPIの実現(生Socketとかある)。怖い。

でも早めに公開してバグハンターに脆弱性を見つけてもらおうという流れができている。

## Android APK解析の話 / すいません、発表された方わかりませんでした

android解析用の環境セット AppUseがとても便利。
https://appsec-labs.com/appuse/

## かよちゃんを救う会の紹介

勉強会会場を提供していただいた株式会社ラックの社員さんのお子さんが心臓病を抱えているそうです。その移植手術の支援をしている活動紹介。
http://kayo-chan.com/

会場を提供していただいて勉強会を開催していただいた株式会社ラックさん、運営の方々、発表していただいた方々、ほんとうにありがとうございました。