読者です 読者をやめる 読者になる 読者になる

Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」

devsumi2009

セッションの詳細についてはこちらを参考にしてください
 パネラーにはあのまちちゃんが、ということで大盛況でした。
 モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。

  • はまちちゃんインフル三日目(汗)
  • 自己紹介
  • NAMAZU脆弱性対応
    • 高木先生からの指摘
    • 指摘がオープンになっていて、あわてて非公開に。
  • XSSについて
    • 信頼できないサイトでは対策は無意味(はせがわさん)
      • 一番信用できるのははまちやドットコム(笑) mixiの騒動の時に情報を抜かなかったら。む
      • 例えばIEを使わない(大垣さん)
      • イントラネットでも危険
  • JSON脆弱性について
      • そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです)
      • セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる
        • JavaScriptでは、JSONによって無名オブジェクトが生成される。この際に先進的な仕様を採用しているブラウザでは、特定のメソッドを実行させることが出来てしまう。
      • UTF-7攻撃もあるよ!
  • オープンな指摘は犯罪か?
    • 監視されてるし訴えられるから脆弱性探しは意味ない(はせがわさん)
    • 訴えても意味がないからやるな、といっている。ただし、指摘する時にはIPAの利用を(大垣さん)
  • オープンソースは安全か?
      • たいしてかわらない
  • PHPはダメか
    • ライフサイクルが短い
    • 文書化されていない仕様がある(これはたしかに)
  • どこまでがブラウザの仕様?
    • これには指摘する側としても困る。声を上げるのが大事。キチンとしたルートで指摘を(はせがわさん)
  • UTF7攻撃は有効か
    • charasetを指定すれば防げる。ただし、エラーページを使っても攻撃できるので、そのてんはと注意しよう(はせがわさん)
  • wafは有効?
    • 徳丸さんの解説
      • ジクネチャ型は保険としてはよい
      • 実演
        • ギリギリまで粘ってくれるのが良いもの
  • 質問
    • 自動生成されたコードの安全性は?
      • エスケープしないで出力すれば穴が開くので過信は禁物
      • カスタマイズで穴が開く可能性も
      • 立場によって視点をかえる。開発者はwafはないものと考えるべき
    • クリックジャッキングについて
      • 仕様の脆弱性だと思う(大垣さん)
    • 高速開発と安全性の両立はどうすべきか
      • 簡単で堅牢なのが理想(徳丸さんの)
      • 簡単な方がセキュリティに気をつける余裕ができる(大垣さん)

 やはり、ブラウザでの挙動が厄介なんですよね。これ全部理解して対策するのは大変です。