体調悪め
最近は疲れ気味で朝起きれなくなってきた。一年に一回ぐらいは調子の悪い時期があるし、大抵は寒い時期。引っ越しもあるし、しばらく大人しくしとく。
セキュリティ勉強会の準備
明日は社内勉強会で発表する。
題材として XSS とセッション ID の固定化攻撃を取り上げようと思う。
- IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート:IPA 独立行政法人 情報処理推進機構
- セッション固定化 (強制) - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
本当は自分で攻撃コードを書きたいところだけど、そこまでやる (気持ち的な) 余裕がなくてブラウザのアドオン使って簡単にデモする予定。XSS やエスケープ処理の理解は深まったけど、Web におけるセキュリティの全体像はまだまだ。攻撃方法は分かっても、どこで何をしたらリスクになるかが見通せてない。
Red5 パッケージング
次の開発スケジュールにあわせて Red5 もみていく。
以前はあちこちリンク切れしてたのが、昨日見てみたら直ってた。
メーリングリストも招待制だったのが申し込み制になったので申請したらすぐに受け入れてくれた。何ヶ月もかかってようやく参加できた。これまで IRC でコメントしても無視され、メーリングリストに参加できないからやり取りしようがなかった。ちょっと安心した。
バグトラッキングシステムもリンク切れしてどこか分からなかったのが googlecode にあることが分かった。RPM のパッケージングがメンテされてないので更新したファイルを送ってみた。
環境にあわせてもう少し改善することもできるけど、ひとまずレビューしてもらって開発側の反応をみたいところ。