2010-12-11

まっちゃ445勉強会第１４回

Security Events

今日は朝から表題の勉強会に参加しました。
朝の「目覚ましの会」では miryu さんの iisec 原田研究室の調査についての話が面白かったですね。クラウド、クラウドと騒がれても経営者の意識がそう変わってる訳では無いのだなあ。あと totoro さんの、先日のブラウザー勉強会での話の続きも興味深い、というか先行きが非常に心配です。この手のやり方が蔓延すると結構大変かも。
さて午後の勉強会や懇親会で話題のパスワードの話ですが、私はこちらやこちらで徳丸さんが書いているように、プルートフォースに対する対策としてのパスワードの定期変更は労多くして実りの少ない方法ではないかと思います。その点に関しては徳丸さんの論旨に同意です。ただし、それではパスワードを変更する必要が全くないのか、というとそれは違うのではないかとも思います。今日の勉強会・懇親会でも何人かの方とお話ししたのですが、パスワードの変更はカジュアルハッキングに対しては非常に有効であり、その危険が高い場合にはぜひ変更すべきだと思います。
実際に報告されているアカウントの不正利用でも身内や友人知人 (あるいは元身内、元友人知人) の犯行である場合が少なくありません。いくら複雑で長いパスワードを利用していても、日常的に濃密に接触している他人に知られてしまう可能性は時間の経過と共に大きくなるでしょう。こうしたパスワードの「漏洩」に対してはパスワードの定期的な変更は非常に有効な対策です。また人間関係が大きく変わった場合 (例えば転職や友人・知人との喧嘩別れ、または離婚とか...) にはそれまでの「善良な隣人」が「悪意のある第三者」に豹変する可能性もありますから、以前の人間関係の環境で利用していたパスワードの変更は必要でしょう。
なおこうした説明はセキュリティーに理解のある人同士でしている分にはあまり抵抗が無いかもしれませんが、平均的なユーザーにパスワードの利用について説明する場合にはちょっと難しいかもしれません。その意味で、一般的な解説として「パスワードの変更はセキュリティー対策になる」と説明する事は致し方ないのかなあとは思います。なかなか微妙な問題とは思いますが....。

2010-10-29

Tech Fielders コラム執筆

Windows Internet

今年の Tech Ed Japan でライトニングトークをさせていだいた縁で、今度は Microsoft Web サイトの Tech Fielders コラムに執筆させていただきました。
内容は Tech Ed の LT で話したネットワークパケット解析に関連して、Microsoft Network Monitor の紹介と簡単な使い方の解説です。ぜひご一読ください。また機会があればより詳細な解説もしたいと思っています。

2010-10-26

第1回神泉セキュリティ勉強会

Internet Events Security

第1回神泉セキュリティ勉強会に参加。内容はきっと色んな人がツイートしたりブログに書いたりするだろうから、気になった事だけ。
会場はECナビの会議室なのだけど、この会社の会議室の名前が凄い。今日の会場が「パンゲア」、喫煙室が「アメイジア」、その他の小会議室が「ウルティマ」「メガラニカ」「アトランティス」「レムリア」「アンタークティカ」「ユーラシア」「ジパング (この部屋は畳部屋)」という具合。これはやっぱり社長の趣味なんでしょうかね。

2010-10-23

まっちゃ445勉強会

Security Internet Events

めざまし勉強会で話したライトニングトークのスライドをこちらに公開しました。

2010-10-10

Web サービスのアイデア

Events Internet

昨日の qpstudy03 の時に色んな人に「かくかくしかじかの Web サービスがあるといいなあ、作る所があるといいなあ」と語ってましたが、あのアイデアは結構本気です。私 (というかウチの会社) だと開発はやってないので、どこか開発できる所と一緒に具体化できたらいいなあと思ってます。
ご興味があれば、ぜひぜひご連絡ください。

2010-10-09

キユーピー3分インフラクッキング qpstudy03

Events Internet Hardware

初心者にも優しいインフラ勉強会 qpstudy の第3回に参加。
会場は最近コミュニティーへの貸し出しを始められたニフティ株式会社のセミナールーム。どんな所かも興味があり、大森まで出かける。
セミナールームは設備も良く使いやすそうなのでとても有難いのだけど、ビル管理の関係で土休日夜間は通常の出入り口が使えず夜間通用口からの出入りとなるのが難点かも。今日はお手伝いで通用口のドアマンをやってたのだけど、入口が分からずたどり着くのに時間がかかった少なからずいた模様。平日夜間でも通用口を使わないとダメだとちょっと面倒かも。
さて今回の qpstudy の目玉は「より対選手権！〜俺よりよれるヤツに会いに行く〜」って要するにその場で LAN ケーブルのコネクタ装着の技を競おうって企画で、会場から抽選で参加の方も含めて作業のスピードと、出来たケーブルの品質 (リンク速度) を比べる内容。どうなる事かと思ったけど、何とか作れちゃうんだなあ。あと作ったケーブルと普通の市販のケーブルで品質に差が無いってのも意外。要点としては、ちゃんとした工具を使うって事と、撚りを戻す部分をあまり長くしないって事のようだ。
その他に、perl や正規表現や Varnish のセッションを経て (すみません、これらの詳しい内容は他の方のブログを見てください) ビアバッシュ。お酒を含む飲食を (しかも持ち込みで) 許していただける会場はなかなか無いので、この点でもニフティさんの好意はありがたい。一部のビールがあまり冷えてないという事故もあったけど、やっぱり LT をやりながらのビアバッシュは盛り上がる。自分の勉強会でもできればこういう風にやりたいなあと思う。
打ち上げと言うか二次会まで含め、とても楽しいイベントだった。ちょっと飲みすぎたけど...。

2010-10-01

Tech Fielders セミナー　知ろう! 学ぼう! ASP.NET MVC

Windows Events Internet

専門分野とちょっと違うけど、ASP.NET MVC のセミナーに参加。
MVC (Model, View, Controller) では、従来の ASP.NET が Web サーバーコントロールをページ上に配置し、Post Back によってサーバーにデータを渡して処理させていたのと異なり、HTML (と CSS) ベースでデザインされた Web ページ内に Model で処理したデータを参照するコードブロックを埋め込んだ View を定義しておき、Controller が HTTP リクエストを受け取って Model にクライアントからのデータを渡して処理させ、 View のコードブロックを処理済みのデータを使って展開してクライアントに返す、というシナリオで動作する。ざっくり言えば C# で Controller と Model を定義しておき、.aspx の View ファイル内にコードブロックを "<%" と "%>" で括って記述するという方法で、View の書き方は PHP　にも少し似ている。
こういう動作原理なので、従来の ASP.NET Web フォームに比べて標準的な HTML/CSS 技術との親和性が高く、クロスブラウザー対応のリッチな Web アプリケーションを作成するのに向いているというメリットがある。他にもモジュールが疎結合になり、単体テストが簡単にでき、SEO 対策の URL ルーティングが簡単にできるなど、Web フォームに比べて良い点がある。特にインターネットに公開するようなタイプの Web アプリケーション、Web サービスに向いているようだ。
という訳で、この辺りの技術要素と今後の動向が聞けて大変ためになったセミナーだった。