Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」
セッションの詳細についてはこちらを参考にしてください
パネラーにはあのまちちゃんが、ということで大盛況でした。
モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。
- はまちちゃんインフル三日目(汗)
- 自己紹介
- NAMAZUの脆弱性対応
- 高木先生からの指摘
- 指摘がオープンになっていて、あわてて非公開に。
- XSSについて
- JSONの脆弱性について
-
- そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです)
- セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる
- JavaScriptでは、JSONによって無名オブジェクトが生成される。この際に先進的な仕様を採用しているブラウザでは、特定のメソッドを実行させることが出来てしまう。
- UTF-7攻撃もあるよ!
-
- オープンな指摘は犯罪か?
- オープンソースは安全か?
-
- たいしてかわらない
-
- PHPはダメか
- ライフサイクルが短い
- 文書化されていない仕様がある(これはたしかに)
- どこまでがブラウザの仕様?
- これには指摘する側としても困る。声を上げるのが大事。キチンとしたルートで指摘を(はせがわさん)
- UTF7攻撃は有効か
- charasetを指定すれば防げる。ただし、エラーページを使っても攻撃できるので、そのてんはと注意しよう(はせがわさん)
- wafは有効?
- 徳丸さんの解説
- ジクネチャ型は保険としてはよい
- 実演
- ギリギリまで粘ってくれるのが良いもの
- 徳丸さんの解説
- 質問
- 自動生成されたコードの安全性は?
- エスケープしないで出力すれば穴が開くので過信は禁物
- カスタマイズで穴が開く可能性も
- 立場によって視点をかえる。開発者はwafはないものと考えるべき
- クリックジャッキングについて
- 仕様の脆弱性だと思う(大垣さん)
- 高速開発と安全性の両立はどうすべきか
- 簡単で堅牢なのが理想(徳丸さんの)
- 簡単な方がセキュリティに気をつける余裕ができる(大垣さん)
- 自動生成されたコードの安全性は?
やはり、ブラウザでの挙動が厄介なんですよね。これ全部理解して対策するのは大変です。