WASForum2008に行って来た
技術者として1ランク上を目指そうと思うのであれば、セキュリティの知識や技術は必須というか、技術者として生き残るにはこの辺りもきっちり押さえてないと厳しくなっていくと思われるので、参加することにしました。
WASForumとはウェブアプリケーションのセキュリティについての啓蒙活動を行っている非営利団体です。
記憶が鮮明なうちに、まとめておこうかと思います。(会社への報告書の下書きでは決してありません!!)
※ あくまでも私がこのように聞こえたってことで、内容が全て正しいとは限りません。間違ってたら突っ込んでください><
●前半部分
■EV SSLの意義と課題
有限責任中間法人 日本電子認証協議会 代表理事 秋山 卓司
・従来のSSL
→多くのブラウザではSSLで接続出来た場合に南京錠のアイコンが表示されるだけ。
→そのウェブサイトの持ち主がきちんと審査されたのかどうかは明確には判らない。
→フィッシングサイトのような悪意のあるサイトが自分のサイトを信頼できるように見せかけるために使用
→EV SSL登場
・EV SSL
→SSL証明書の審査基準を標準化
→法的実在、物理的実在、運用実在が必要+審査発行に関する外部監査が義務化
・課題
暗号化アルゴリズムの世代交代への対応
→1024ビットRSAは2010/12/31まで。
→政府的には2013年ぐらい、キャリアの対応は2012年ぐらい?
対応ブラウザの普及
→携帯やゲーム機などの組み込みブラウザの対応がすぐには厳しい
日本語の取り扱い
企業におけるドメインの管理
費用対効果の理解が得られるか
■SQLインジェクション対策再考
HASHコンサルティング株式会社 代表取締役 徳丸 浩
先日も米PlayStationのサイトがSQLインジェクションの被害にあったように、まだまだ正しく対策ができていない。
内容的には↓で書かれていることでした。
徳丸浩の日記:そろそろSQLエスケープに関して一言いっとくか
・リテラルの枠からはみ出すから問題になる。
→バインド機構を使用(バインド機構の実装にバグがなければ安全)
→古いアプリなどバインド機構を使用していないものについては、文字列と数値に分けて正しくエスケープ
→文字列:エスケープ
→数字(変数に型がある言語):おk
→数字(変数に型がない言語):妥当性のチェックが必要
→半端なマルチバイトコード、UTF8の冗長表現はチェックしてエラーに。
※ MySQLにおいては、セミコロンの削除は複文実行の防止にはならない。(PostgreSQLではおk)
■携帯電話向けWebのセキュリティ
グリー株式会社 取締役CTO 藤本 真樹
1.ブラウザ
・リファラがこない
auとsbで来ないかもしれない
・Cookieが使えない
auはいいが、sbは使えない機種もある。。。
→んじゃ、セッションで。
→リファラでセッションIDがばれる(悩ましい。。。。)
・そもそも他サイトにリンクさせない。
→リンクレンダリング時にparseしてチェック。
→PHPで書いてみたが激遅。
→Cで書いたPHPエクステンションで。
→ソースが見たい人は是非GREEへ。
※ 自分のセッションIDがくっついたURLとかをコピペとか平気であるようなので、その際は見ている人のセッションIDに代えてリンクを表示するとかいろいろ頑張っているようです。
・携帯でHTMLのコードが読める
簡単ではないが条件がそろえば可能。(スマートフォンのX01HTとか。。)
→今後は、ソースが見られるのを前提で書くように。
2.キャリア内ネットワーク
・IPアドレス帯域が決まっている
→当然、携帯のIPからしかアクセスを許可しないように設定(設定しないといろいろ大変なことに)
→結構な頻度で使用するIPが追加される。
→頑張ってアップデート
※ この辺りの作業は面倒なので、どこかで一元管理して配信してくれないですかねー。
・偽装は可能?
IPアドレスチェック+キャリア判定でチェック可能
・端末固有IDは一意か?
その瞬間瞬間では一意であるが。。。
→iモードIDは再利用されないため必ず一意になる。
→auとsbは再利用されないとは明記されていないため、可能性あり。
・パスワード管理は?
携帯ユーザはPCユーザよりさらに、パスワードに対する認識が低い。
→おそらく123456やadgimpなどのパスワードが氾濫している
■OpenIDのセキュリティ
サイボウズ・ラボ株式会社 山口 徹
OpenIDについての予備知識がほとんど無かったので、全然話についていけませんでした。
WEB+DB PRESS Vol.45を買ったままにしてて、ちゃんと読んでなかったのが悪いですね。折角OpenIDの解説載ってたのに。。。
幸いにも↓で資料が公開されていますので、出直してきます。
Yet Another Hackadelic:WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します
●後半部分
■セキュリティの作り込みはどのように行われているのか?
講演者:マイクロソフト 高橋正和、加治佐 俊一 CTO, ソニー 松並勝
これは思っていたより面白かった。
セキュアなアウトプットを出すためには、どのようなアプローチが必要か?みたいなお話です。
マイクロソフトの取り組み
セキュリティディベロップメントライフサイクル(SDL)を全てきちんとやると超大変
→でも、超頑張ってきちんとやってます。(なので、皆さんMSを信用してください)
→MSでは標準の手法なので、日本だけではなくどの開発拠点でもやっている。
→下位互換のために残してある古いコードはよくわからんので、ばっさり捨てることもある。
※ パッチ1つにかかる費用はひみつ。(互換性や多言語チェックなどで、テスト工数ががが。。)
ソニーの取り組み
SDLを全てきちんとやると超大変なので簡素化
・ライトウェイトアプローチ
各対策の費用対効果を高める × 費用対効果の高いものから順に予算が許す限り頑張る。
→セキュリティを考慮した設計、セキュアプログラミング、ドキュメントレビュー、コードレビュー、脆弱性チェックを行う必要がある。
→大変なので、セキュアプログラミング、ドキュメントレビュー、コードレビューの3つだけ頑張る
→セキュアプログラミング:開発者を4時間ぐらいトレーニング
→ドキュメントレビュー、コードレビュー:4ヶ月ぐらい訓練した専門組織でチェック
→セキュリティに関するドキュメントのみチェック
・量的(そもそも多すぎる)にも質的(BlueRayなので専門知識が必要など)にも無理が。
→ドキュメントレビュー、コードレビュー:開発者をトレーニングしてやってもらう。
→開発者は意外に積極的にやってくれる(スキルアップのため)
→以前の専門組織は、セキュリティの教育組織に。
※ レビューコストは全体の1.5%〜5.9%ぐらい。
※ パッチ1つ作るのに約100万円+広報+αのコストが必要
■Security Wars Episode III
講演者:高橋郁夫弁護士
法律の観点からセキュリティに関するお話。
ダースベーダーの格好でテーマソングを口ずさみながら登場。
眠かった。。。というか、資料がほぼ英文+右端に訳みたいな感じで見づらかった。
■Webセキュリティのマルプラクティス – 思い込みによるソフトウェアエラーをなんとかしろ
講演者:門林雄基、岡田良太郎
マルプラクティス。要するにやっちゃだめですよ特集。
携帯から投票できるシステムを使われていたので、面白かった。
内容的にはまとめるのは難しいので割愛。
●要望
・講演のメモを取る際には、やはり資料があったほうがやりやすいです。
参加料を1000→2000円にしてもいいから、配布していただければと。