http://www.ipa.go.jp/security/vuln/event/200612.html
伺ってきましたともさ。12/13に。
簡単にコメントとかしつつ資料紹介などを。
- ご挨拶(IPA セキュリティセンター情報セキュリティ技術ラボラトリー長 小林 偉昭)
http://www.ipa.go.jp/security/vuln/event/documents/200612_0.pdf
いやなんていうかまぁご挨拶。
なにがどうってほどのものでもなかったですが。プログラムの後半みて上がってたくらいです(笑
http://www.ipa.go.jp/security/vuln/event/documents/200612_1.pdf
んと…なんとなくあちこちで酷評を拝見するのですが。
個人的には「報告としては真っ当だなぁ」って感想ですね。
ただ、質問でも言ったのですが。「ビジネスとか被害金額とかそういった観点」がもう一つ抜け落ちているような < CVSS
技術者として「技術的深刻度を基準にする」のがわからんでもないのですが。
やはりここは、もう少し「お金より」な観点"も"欲しいところでしたね。
http://www.ipa.go.jp/security/vuln/event/documents/200612_2.pdf
…すんませんぶっちゃけ「全体のうち最低な内容だなぁ」ってのが感想です。
なんていうんだろう…全体的にちょっと。
PDFとかで見れる部分のうち、突っ込める場所をいくつか列挙してみます。
安全なWebアプリケーション開発に必要な要素
• セキュアコーディングTIPS
Tipsって発想がすでに嫌い。まぁ「Tipsという単語に込められた意味」にも拠るのですが。個人的には「小技」の類であり、結局は本道ではないように感じられてしまうので。
• 「入力値妥当性」チェックは可能
– 特定文字列の削除対策?
いつもいつもいつも思うのですが。なんで「入り口で絞る」よ?
「入力値妥当性」って単語つかうととても簡単に騙され誤魔化されるのですが。「何を以って妥当とする」のでしょうか?
ぶっちゃけ。今回の中で「唯一」入り口でのチェックを推奨していました。
…ええ身内全員が真っ白い目で見てましたともさ。
ご高名な方…らしいのですが。
- 【講演3】 安全なウェブアプリケーション開発に向けた活用事例【講演者】株式会社日立製作所 Hitachi Incident Response Team(HIRT) 梅木 久志
http://www.ipa.go.jp/security/vuln/event/documents/200612_3.pdf
ここも酷評を散見するのですが。個人的には「物凄く高い評価」してます。
具体的には「講演2の時点で真剣帰ろうか悩んでたところが食い止った」くらいに。
或いは…すみません暴言になりますが「生意気だぞ!! 日立のくせに。」by ぢゃいあん。
セキュリティを張る理想と、ビジネスとしての現実。メーカさんじゃないと出てこない観点からのお話がすばらしくよござんした。
こういった「きちんとお金の話をする」ことの大切さは、何度でも何度でも言っておきたいところです。
- 【講演4】 失敗事例から学ぶウェブアプリケーション開発のヒント【講演者】IPA セキュリティセンター 伊藤 耕介
http://www.ipa.go.jp/security/vuln/event/documents/200612_4.pdf
ある意味一番「普通に」面白かったです。XSSのデモが秀逸でしたねぇ。怖くてw
ちなみに。
XSSの正しい対策と一部現状
■ HTMLを許可しない場合(※)
根本的解決
・ウェブページに出力する全ての要素に対して、エスケープ処理を行う
で「出力にたいしてエスケープをする」ってのは。普通に思考が働く技術者なら説明の必要がないほどに自明かと思うんですがどんなもんなんでしょうかねぇ?
個人的には。この方の別の脆弱性のデモ含め、また何度も拝見したいなぁと思いました。
- 【講演5】 安全なウェブアプリケーション発注のあり方【講演者】独立行政法人 産業技術総合研究所 情報セキュリティ研究センター 高木 浩光
http://www.ipa.go.jp/security/vuln/event/documents/200612_5.pdf
はい高木先生です。なんていうか「このために残ってた」といっても過言じゃぁございません(笑
億に一つほど念のため。よもや高木先生の日記のURLを知らないなんて不届きな方はいないと思いますが。 http://takagi-hiromitsu.jp/diary/ こちらです。
…んで。
そこまで期待をしておいてなお「期待を上回るものを拝聴できた」のは………素晴らしいの一言に尽きます。
まず。「セキュリティ」を「発注側から切っている」視点の斬新さ。久々にコロンブスの卵です。受注に通じるラインですから、結局は、開発者的にも100%ど真ん中に我が身のことです。
ガイドラインの、よい意味での「問答無用」っぷり。素晴らしいです。
話術的にも非常に卓越した印象を感じたのですが、内容もまた素晴らしい着眼点で…己の未熟さとかなんとかってのを久しぶりに心行くまで痛感いたしました。
あ。今回のこの高木先生のPDFは、寺子屋メンバーは熟読必須。年明け以降は「読んでること前提」にするからね。
っつかこのガイドラインそのまま使わせてもらいたいです。マジで。
なんとか。なんとか、研究成果を公表の舞台に持ち上げて欲しいと切に願います。
とまぁ玉石混合な感じではありましたが。通常より明らかに多い玉があったので、収穫的には「大収穫」のレベルだったかと思います。
高木先生にCSRFのお話をこっそり質問できたのも、すんばらしいヒント頂戴できたのもまた朗報でしたし(ワンタイムチケットの呪縛を解呪してもらっちゃいましたw)。
いずれにしても。PDFは一度は読んでおいて損ないかと。