我能请你喝一杯Berry Blue Kool-Aid吗？：蓝帽大会v7回顾

大家好，我是Nate McFeters，来为大家回顾微软蓝帽大会v7的所有精彩内容。我在安永高级安全中心工作，同时也在ZDNet的零日安全博客上写文章。你可能在会议圈里见过我，我最近在黑帽大会和ToorCon等知名活动上演讲过。但这次，我不是来演讲的；微软请来了Rob Carter（同样来自安永ASC）和我，讨论我们最近发现的一些漏洞，这些漏洞涉及与微软有紧密合作的几家第三方供应商。实际上，这要感谢Katie Moussouris，她非常棒，帮Rob和我联系了合适的人来修复问题，并邀请我们参加蓝帽大会以表彰我们的努力。

来西雅图总是让我很开心。黑客/安全研究社区在西雅图的代表性是我去过的地方中独一无二的。当然，西雅图再次没有让我失望！周三，我有机会参加了iSec Partners的派对，庆祝他们新西雅图办公室的开业，恭喜所有这些人。iSec派对后，我和Billy Rios（前安永ASC成员，现微软员工，蓝帽大会演讲者）一起去了蓝帽演讲者派对，有机会喝免费啤酒，并与一些行业领军人物交流，比如Alex（kuza55）、Fukami、Sowhat和Manuel Caballero。

经过漫长的第一晚，我处理了一些工作相关的事情，周四大部分时间在放松……直到蓝帽派对开始。前提很棒：把一群黑客放在酒吧里，免费提供酒水直到打烊……就在大秀前一天晚上！好在这些家伙都是专业人士！

对我来说，演讲的亮点是：

1. 看到Alex（kuza55）向满座观众讨论浏览器不安全问题。这家伙有一些非常前沿的东西，但真正让我印象深刻的是Alex对大局的成熟理解，这非常令人印象深刻，尤其是来自一个17岁的人。他讨论了供应商需要更透明地公开浏览器所依赖的标准……在跨站Cookie和他的FindMimeFromData攻击案例中，这一点最为有趣。Alex解释了缺乏对这些技术的理解有多危险，以及除非安全社区获得更多大局信息，否则这些问题将一直潜伏直到被发现，当然，我们无法保证发现者会是好人。
2. 观看Billy Rios和Nitesh Dhanjani的网络钓鱼讨论，这是我见过的最有趣和最有启发性的演讲。演讲基本上回顾了Billy和Nitesh一年多前参与的研究，他们加入了网络钓鱼社区，意识到这不仅关乎网络钓鱼，更关乎身份盗窃。他们发现网络钓鱼只是满足身份盗窃生态系统中身份需求的一种供应手段。他们能够发现网络钓鱼网站、钓鱼者使用的工具包，以及钓鱼者出售被盗身份的网站……真是难以置信。最悲哀的是意识到这些钓鱼者技术知识多么匮乏，然后进一步意识到他们对互联网造成了多大的影响。如果你没看过这个演讲，绝对应该去黑帽维加斯站看看。如果你看过，我相信你会再看一次。
3. Manuel Caballero讨论了一些最初没有引起我注意的内容。起初听起来像是已经投入跨站脚本攻击框架的相同研究，基本上涉及使用XSS在受害者和攻击者之间创建双向通信通道以利用XSS。然后我意识到Manuel真正在谈论什么。驻留脚本让我感到恐惧。而正常的跨站脚本攻击向量对受跨站脚本攻击的网站很有效，但它止步于此；它无法跟随你跨域。Manuel的可以。可怕。

演讲结束后，我有幸参加了IOActive豪华轿车赛后的派对。我从未参与过导致如此多搞笑照片的活动。特别是Dan Kaminsky、David Hulton和Andrew Cushman的照片是无价的。感谢Josh Pennell和所有IOActive团队举办这个活动——非常有趣。

所有这些，我以回到芝加哥并向我的长期女友Melissa Radocha求婚结束了这一周（她答应了，感谢上帝！），所以这可能是我人生中最好的一周之一。抱歉所有媒体朋友，如Ryan Naraine和Rob McMillan，我肯定你们想加入我，但请记住，我不是来媒体覆盖的……我只是幸运地偷了一个独家，因为有一些微软感兴趣的研究！J

-Nate

——————