OpenSSLのHeartbleed

ログも残さず簡単にデータを引っこ抜けるらしい。。。
また既存バージョンのアップデートだけでは対策はたりなくて、
・証明書の更新
・古い証明書の無効化
この２つも必要なんだそうで。
理由は、古い証明書のままだと過去のパケットを抜き取られておりさらに秘密鍵も盗まれたりすると過去のデータが閲覧可能になってしまうから。
（理由はちょっと記憶怪しい。）

Apache Struts 2

脆弱性をつかれてシステムへの侵入を許し、バックドアを仕込まれたりすると結構たいへんなことに。
Apache、Tomcat、Strutsといい依存関係が複雑なので一度構築するとメンテが面倒なのであまりおすすめはしないという。

ソフトに対する脆弱性はCVEでの点数で7.5以上であると危ないので使用には注意が必要である。

PC遠隔操作事件について

犯人が幾つかポカをしておりもしもポカがなければもう少しだけ手こずったかもしれない事件。
（一応ポカがなくても警察には切り札があったとのこと）

大変興味深い話を面白おかしく語っていただけたため３時間の長丁場であったにもかかわらず最後まで楽しんで話しを聞くことができた。

デモ用のサーバーを構築するのが案外大変というのが意外だった。

今回は、他にも貴重な話をたくさんしていただけたのだけれどオフレコだったり、これは載せないほうがと思ったりでかなり内容を曖昧に書いてる。

なので詳しい話を聞きたい思った方はぜひ参加を！

「誰も知らない？暗号の話、RSAからCAESAR Competitionsまで」

スパコンは決して暗号解析専門ではない。
暗号の説明にスパコンが出てきて解析に何年かかると言われても信用しないこと。
独自暗号なんて危なくて使えない。これは第二次世界大戦でも証明済み。
RSA-1024も危ない。

「「IPAセキュリティキャンプ説明会&ミニワークショップ」の紹介 」

参加したいけど年齢制限＋平日開催でちょっと無理そう？

「動的メモリ確保は静かに奏でられる」

Use After Freeについて。
ついこの間問題になったIEの脆弱性について？