セキュリティ勉強会の準備

明日は社内勉強会で発表する。

題材として XSS とセッション ID の固定化攻撃を取り上げようと思う。

• IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート：IPA 独立行政法人 情報処理推進機構
• セッション固定化 (強制) - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために

本当は自分で攻撃コードを書きたいところだけど、そこまでやる (気持ち的な) 余裕がなくてブラウザのアドオン使って簡単にデモする予定。XSS やエスケープ処理の理解は深まったけど、Web におけるセキュリティの全体像はまだまだ。攻撃方法は分かっても、どこで何をしたらリスクになるかが見通せてない。

Red5 パッケージング

次の開発スケジュールにあわせて Red5 もみていく。

• Red5 Media Server

以前はあちこちリンク切れしてたのが、昨日見てみたら直ってた。

メーリングリストも招待制だったのが申し込み制になったので申請したらすぐに受け入れてくれた。何ヶ月もかかってようやく参加できた。これまで IRC でコメントしても無視され、メーリングリストに参加できないからやり取りしようがなかった。ちょっと安心した。

• red5interest

バグトラッキングシステムもリンク切れしてどこか分からなかったのが googlecode にあることが分かった。RPM のパッケージングがメンテされてないので更新したファイルを送ってみた。

• Red5 · GitHub

環境にあわせてもう少し改善することもできるけど、ひとまずレビューしてもらって開発側の反応をみたいところ。