まっちゃ445のML開設♪
まっちゃ445勉強会メーリングリスト
が開設されました。
今後の勉強会の募集告知を行うだけではなく、
勉強会の希望テーマを投稿したり、「講師やらせろ!」という声をあげたり、
勉強会前後のディスカッションの場としてご利用頂ければと思います。
ちなみに、基本的にはアーカイブ公開でいくので、モラルある行動を心掛けて頂ければと思います。
まぁ、利用上のルールなどは上記のリンクを辿って下さい。
ぁ・・・一点、留意事項があります。
MLへの参加にはGoogleアカウントが必要になります。
「アカウントを作りたくない!」
という方は
http://groups.google.co.jp/group/matcha445/feeds?hl=ja
にアクセス頂き、
Atom1.0かRSS2.0対応のフィードリーダ経由で情報を入手して頂ければと思います。
■
まぁたまには更新しないとねってことで(;^_^A アセアセ…
SWタイプのWAF?
http://www.bbsec.co.jp/aboutus/press/080917.html
によると、
Javaと.NETで組まれたアプリが対象なので、JavaEEサーバかIISが対象って事なのかな?
ServletFilterとISAPI Filter使って実装した場合は、APサーバとRDBMS間の通信はジャック出来ないから、どちらでもないんだろうなぁ。
とすると、FORTIFY Defenderを使ったサービスだね。きっと。
米国本社のHPを確認するとReal-Time Analyzer (RTA) In Productionもっとちゃんとした情報が載ってるや。
ピンポイントでアタリ引いた気がするよ。
ちなみにNWやサーバ構成の変更が不要と書かれているけど、アプリ内部に組み込まれるんだよね?本番環境だよ?
というわけで、実際にプロテクトかけちゃうとサポートが大変なので、
って価格体系になっているのかな?
アプリケーションインスタンスってのが、サーバインスタンスのことなのか、それとも1つのWebアプリケーションのことなのかは不明だけど、
前者なら、IISの場合はサイト単位で入れるかもだけど、Javaの場合は結構立てるところが多いから、金額が跳ね上がりますね。
後者は目も当てられない。
年額にすると
- モニタ:60万/年〜
- プロテクト:240万/年〜
って金額になるから、決して安くない気がするけど、月一回のレポートで安心感を得るっていうなら安いのかな?
いずれにしても既存のアプリに組み込まれるタイプの製品って使いたいという人の気が知れない。
WASC Threat Classification v2 Project
http://www.webappsec.org/lists/websecurity/archive/2008-09/msg00034.html
のメールでRobert Auger曰く
「Hey!誰かフィードバックくれYO!」
って事なので、興味があって時間が取れる方は是非!w
Oracleになって・・・
- Threat(脅威)
- Severity(重大度)
に関する見解が記載されなくなり、内容が非常に理解し辛くなった気がする。