devsumi2009 : 「Webアプリケーション／Ajaxセキュリティ徹底バトル」

Developers Summit 2009 「Webアプリケーション／Ajaxセキュリティ徹底バトル」

Webアプリケーションの攻撃側と防御側（運用側）に別れてのパネルディスカッション。なかなか楽しく、かつ有意義な内容でした。

私が個人的に気になったことを列挙しておきます。

１．JSONの”脆弱性（？）”
　　Bugと仕様が混在している微妙な問題。
　　GoogleはAd-hocな対応をしたが、ちゃんとした対策をするべきだったと思う。
　　　　対策はサーバ側で行うべき（クライアント側だけでは解決しない）。
　　　　例えば　POSTのみ許可する
　　　　　　　　　XHR(XmlHttpRequest)のリクエストヘッダに固有の情報をセットする
　　　　　　　　　レスポンスヘッダのcharsetを設定する（Shift_JIS/EUC-JP/UTF-8）
　　　　など。

２．オープンソースは危険？クローズソースは安全？
　　オープンソースは多くの人にレビューされているので安全、ということはない（神話）
　　コードが公開されているから危険、ということでもない
　　クローズソースはソース公開されないので安全、なんてことはない＝＞コードがなくても脆弱性は発見される

３．XSSについて
　　イントラシステムだったら対応不要、なんてことはない。情報漏洩の原因にもなりえる。
　　　　そもそもXSSってバグでしょ！！技術者として直さないなんてありえない。

４．WAF（Web Application Firewall）
　　ないよりはよい。ただし保険的な対策と割り切る。
　　苦労を厭わずに安い／無料のWAFを使ってみよう！！
　　どちらにしても開発者はWAFのあるなしで手を抜いてはいけない

５．最後に私が質問したこと（回答ありがとうございます）
　　ディスカッションの流れでは「開発者がちゃんと設計／実装すべき」となっていたが、最近のEoD（Ease of Development)とは相容れないのか？
　　EoDで空いた時間をセキュリティ対策に充てればいい（それが技術者が今後生き残る道でもある）
　　＝＞共存できるはず。
　　＜＜攻撃側は区別なく攻撃するのだから＞＞

UTF-7での脆弱性などもっとたくさんの情報があったのですが、説明できるほど私がついていけていません。
私ももっともっと勉強しないといけないな、と実感しました。

あちこちでもっとちゃんとした情報が出ています。参考にどうぞ。
　http://d.hatena.ne.jp/kagigotonet/20090213/1234519898
　http://d.hatena.ne.jp/monjudoh/20090213/1234522106

タグ：脆弱性 devsumi2009 Webアプリケーション