TechTalkManiacs

Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション／Ajaxセキュリティ徹底バトル」

devsumi2009

セッションの詳細についてはこちらを参考にしてください

　パネラーにはあのまちちゃんが、ということで大盛況でした。

　モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。

• はまちちゃんインフル三日目(汗)
• 自己紹介
• NAMAZUの脆弱性対応
  • 高木先生からの指摘
  • 指摘がオープンになっていて、あわてて非公開に。
• XSSについて
  • 信頼できないサイトでは対策は無意味(はせがわさん)
    • 一番信用できるのははまちやドットコム(笑)　mixiの騒動の時に情報を抜かなかったら。む
    • 例えばIEを使わない(大垣さん)
    • イントラネットでも危険
• JSONの脆弱性について
  • そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです)
  • セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる
    • JavaScriptでは、JSONによって無名オブジェクトが生成される。この際に先進的な仕様を採用しているブラウザでは、特定のメソッドを実行させることが出来てしまう。
  • UTF-7攻撃もあるよ!
• オープンな指摘は犯罪か?
  • 監視されてるし訴えられるから脆弱性探しは意味ない(はせがわさん)
  • 訴えても意味がないからやるな、といっている。ただし、指摘する時にはIPAの利用を（大垣さん）
• オープンソースは安全か？
  • たいしてかわらない
• PHPはダメか
  • ライフサイクルが短い
  • 文書化されていない仕様がある(これはたしかに)
• どこまでがブラウザの仕様？
  • これには指摘する側としても困る。声を上げるのが大事。キチンとしたルートで指摘を（はせがわさん）
• UTF7攻撃は有効か
  • charasetを指定すれば防げる。ただし、エラーページを使っても攻撃できるので、そのてんはと注意しよう（はせがわさん）
• wafは有効?
  • 徳丸さんの解説
    • ジクネチャ型は保険としてはよい
    • 実演
      • ギリギリまで粘ってくれるのが良いもの
• 質問
  • 自動生成されたコードの安全性は？
    • エスケープしないで出力すれば穴が開くので過信は禁物
    • カスタマイズで穴が開く可能性も
    • 立場によって視点をかえる。開発者はwafはないものと考えるべき
  • クリックジャッキングについて
    • 仕様の脆弱性だと思う（大垣さん）
  • 高速開発と安全性の両立はどうすべきか
    • 簡単で堅牢なのが理想（徳丸さんの）
    • 簡単な方がセキュリティに気をつける余裕ができる（大垣さん）

　やはり、ブラウザでの挙動が厄介なんですよね。これ全部理解して対策するのは大変です。

ツイートする

Permalink | コメント(0) | トラックバック(1) | 19:11