TAKESAKO @ Yet another Cybozu Labs

LL魂、参加されたみなさんお疲れ様でした。みなさんのお陰で無事イベントを終了することができました。ありがとうございました。

前半の20枚だけですが、Flickrに写真をアップロードしました。

詳しい感想はのちほど。いろいろ新しい刺激を受けました。

とりいそぎ、Lightning Talksの発表資料（※画像はイメージでしたバージョン）を公開します。

• イメージファイト！ - 画像に埋め込まれたPHP・XSS攻撃コードと戦う5つの方法 -
  11  竹迫良範（Shibuya Perl Mongers）
  http://wafful.org/mod_imagefight/ImageFight-LL2007.ppt
  

先日、PHPの攻撃コードが隠された画像ファイルが、大手ホスティングサイトで発見されたとの報道がなされました。GIF,PNG,JPEG,BMP形式の画像ファイルには、PHPのRFI攻撃で使用されるコードやJavaScriptのソースなどを埋め込むことができます。画像に埋め込まれた攻撃コードと戦う5つの方法について解説し、安全な画像アップローダの実装について考察します。 

Webアプリケーションのセキュリティでは、ブラウザのバグやプロトコルの仕様にいつも付き合わされてしまいますが、そういったことを気にせずに開発できる日が来るといいですね。

また来年も（今度は定員1300名の会場みたいなので）よろしくお願いします。

ついカッとなって企画された第1回XSS祭り、ネタかと思っていましたが、先日の日曜日に開催され、無事終了しました。

XSS本の洋書 XSS Attacks: Cross Site Scripting Exploits and Defense が日本に届いたので、 このタイミングに最近のXSSの傾向を整理して、それらの攻撃を防御する手法についてみんなで勉強しました。

実際、本の内容にはあんまり触れなかったですけど。ネタでAnti-Anti-Antiとか。

終始まったりとした雰囲気の中、参加者の飛び入りプレゼンやSkype中継もあったりと、大変楽しい勉強会でした。

参加者が参加者だけに、国内（世界的にも）最先端の話を共有することができて、有意義な時間を過ごすことができました。

（詳細はあとで書く。）

わざわざ、この勉強会のためだけに新幹線で上京された方もいらっしゃったとのことで、 その熱意には感服するばかりです。おかげで充実した勉強会になりました。

参加者レポート（順次追加）

• うさぎ文学日記 - 第1回XSS祭り(サニタイズ済み)
• てっしーの丸出し - CTF予選 その4
• a threadless kite - 糸の切れた凧(2007-06-03)
• 葉っぱ日記 - 第1回XSS祭り
• ikepyonのお気楽な日々～技術ネタ風味～ [ネタ]XSS祭り

参加できなかった人によるまとめ

• まっちゃだいふくの日記★とれんどふりーく★ - うさぎ文学日記 - 第1回XSS祭り(サニタイズ済み)

ご参加いただいた皆様、どうもありがとうございました。