第16回 まっちゃ445勉強会
今回は朝の「目覚ましの部」からいます(と言うか発表していました)。
今回の本編は1本のみ「体系的に学ぶ 安全なWebアプリケーションの作り方~脆弱性が生まれる原理と対策の実践~(徳丸さん)」となります。
内容についてはこの後適宜更新します。
(2011/4/23 13:06頃追記)
開会、注意点に地震に関する項目が追加されていました。
(2011/4/23 14:00頃追記)
そろそろスタートします。この後はキリの良いタイミングで更新します。
(2011/4/23 15:00頃追記)
前半戦スタートしました。
・本の売れ行きについては、出版元の想定より良いとの事、第3版が出る予定
・前半は「本ができるまで」、後半は「本に書けなかった事(最近の動向含む)」で進めます
・HASHコンサルのHASHは、実はご家族の頭文字から取ったとの事
・本ができるまで→「言いだしっぺの法則」、WASF 2008の発表時のまとめ部分がきっかけ
・まずはIPAの「安全なSQLの呼び出し方」からスタート(今もタダで公開されているので、読んでみましょう)
・Blogに挙げた金床本の書評に対する他の人のコメント→本書きました
・2010/5に企画スタート、執筆は2010/5/28から
・書きあがったのは12月、その後レビュアーとのやりとりなどで校数を重ね、無事出版された……と
・珍しいのはレビュアーをネット上で公募した事
・当初は入門的書籍を想定していたのだが、少し難しくなってしまったかも……
・レビュアーが豪華過ぎる→実はこれが悩みだった
・かなり細かい処まで指摘がガンガン飛んでくる(もちろんそれは有難い事なのですが)
・レビューはGoogleグループを利用して実施
・先行書籍の調査→古い本は陳腐化になっているケースが多い
・PHPサイバーテロの技法→スピード感があり、良いのだが、流石に5年以上前(2005年出版)の本という事もあり、陳腐化している箇所が見受けられる
・金床本(ウェブアプリケーションセキュリテ)→詳しい箇所(XSS、CSRFなど)があるのだけど、網羅的な本ではない
・佐名木本(セキュアWebプログラミングTips集)→Tipsが豊富
・SQLインジェクションから書き始めたものの……想定読者像、構成、文言...etc...色々な事について指摘を受けまくり
・JavaScript(XSS)部分では、「same origin policyの話からしましょう。長くなるのは覚悟の上。」という指摘もあった→この辺りから入門的視点がブレ始めた
・ページ数は、原稿レベルでは400ページくらいを想定→実際には500ページover、でも編集担当から「長いので切りましょう」とは言われなかった
・想定読者→とにかく開発者に訴求したい、「独力で」アプリが書ける人を想定、セキュリティ専門家についてはどうでも良い(同業者だし)
・取り上げた脆弱性は、実害がはっきりしているものを重視(OPTIONSとか、バージョンが分かる系は割愛)
・脆弱性サンプルに4つ原則を設けている
・「1.何かしら役に立つ機能である」「2.現場でやってしまいそうな想定」「3.実害のある脆弱性が発現する」「4.ターゲット以外の脆弱性を含まない」
・サンプル作りで大変なのは「正常系のシナリオを考える事」、例えばOSコマンドを呼び出すシチュエーションとかeval()を呼び出すシチュエーションとか……
・GET/POSTの使い分けとか……、GETのれき等性のお話とか(結局扱いきれずに途中で削除した)
・入力値に関するお話、本の中では「ブラックリスト/ホワイトリスト」は出てきていません→誤用・誤読の可能性があるため
・特にホワイトリストで、「1.アプリの仕様として認められたデータの一覧」「2.セキュリティ上安全である事が確実なデータの一覧」の2つの読み方がり、混乱の元となり得るので出しませんでした
(2011/4/23 15:30頃追記)
前半戦の続きです。
・XSS(応用編)の解説、HTMLパーサの扱い(スクリプトタグの終わりの解釈)に、実は罠がある(実際につい最近起きたEVERNOTE XSS事件はこのケース(この件についてはココが参考になります))
・CSRFについては、初稿は評判が悪かった(説明不足で分かりにくかった)→表形式の比較から、絵に変更した
・認証のお話→パスワード認証をいかに安全にするのかが中心
・ただ、最近は攻撃側の能力が高まっている(総当り攻撃)→Saltにストレッチングを加えた手法にした
・書かなかった事→UTF7のXSS(MSのアップデートで再現しなくなってしまった)とか、hiddenパラメータの話とか
・書けなかったこと→Ajax/JSON(最初から書くつもりはなかったけど、第2版を出すチャンスがあれば)、WAFとか
・今後のディスカッションの基準となれば嬉しいし、今後の安全なアプリ開発手法の普及のための一助になれば幸いです
(2011/4/23 15:55頃追記)
今回のおやつは、被災地の銘菓の詰め合わせでした。
そろそろ後半戦スタートです。
(2011/4/23 16:30頃追記)
後半戦スタートしました。後半戦は質疑応答からスタートです。
・本の電子化については、検討中との事らしい……是非ネット上で「電子化希望(プラットフォームも併せて)」と書いて下さい
・HTML5について、HTML4.01として「正しい」対策していれば、概ね問題ないとの事だとか。但し当然HTML5固有の機能は別だし、対策もトリッキーなケースについてはマズいとの事。
今回は朝の「目覚ましの部」からいます(と言うか発表していました)。
今回の本編は1本のみ「体系的に学ぶ 安全なWebアプリケーションの作り方~脆弱性が生まれる原理と対策の実践~(徳丸さん)」となります。
内容についてはこの後適宜更新します。
(2011/4/23 13:06頃追記)
開会、注意点に地震に関する項目が追加されていました。
(2011/4/23 14:00頃追記)
そろそろスタートします。この後はキリの良いタイミングで更新します。
(2011/4/23 15:00頃追記)
前半戦スタートしました。
・本の売れ行きについては、出版元の想定より良いとの事、第3版が出る予定
・前半は「本ができるまで」、後半は「本に書けなかった事(最近の動向含む)」で進めます
・HASHコンサルのHASHは、実はご家族の頭文字から取ったとの事
・本ができるまで→「言いだしっぺの法則」、WASF 2008の発表時のまとめ部分がきっかけ
・まずはIPAの「安全なSQLの呼び出し方」からスタート(今もタダで公開されているので、読んでみましょう)
・Blogに挙げた金床本の書評に対する他の人のコメント→本書きました
・2010/5に企画スタート、執筆は2010/5/28から
・書きあがったのは12月、その後レビュアーとのやりとりなどで校数を重ね、無事出版された……と
・珍しいのはレビュアーをネット上で公募した事
・当初は入門的書籍を想定していたのだが、少し難しくなってしまったかも……
・レビュアーが豪華過ぎる→実はこれが悩みだった
・かなり細かい処まで指摘がガンガン飛んでくる(もちろんそれは有難い事なのですが)
・レビューはGoogleグループを利用して実施
・先行書籍の調査→古い本は陳腐化になっているケースが多い
・PHPサイバーテロの技法→スピード感があり、良いのだが、流石に5年以上前(2005年出版)の本という事もあり、陳腐化している箇所が見受けられる
・金床本(ウェブアプリケーションセキュリテ)→詳しい箇所(XSS、CSRFなど)があるのだけど、網羅的な本ではない
・佐名木本(セキュアWebプログラミングTips集)→Tipsが豊富
・SQLインジェクションから書き始めたものの……想定読者像、構成、文言...etc...色々な事について指摘を受けまくり
・JavaScript(XSS)部分では、「same origin policyの話からしましょう。長くなるのは覚悟の上。」という指摘もあった→この辺りから入門的視点がブレ始めた
・ページ数は、原稿レベルでは400ページくらいを想定→実際には500ページover、でも編集担当から「長いので切りましょう」とは言われなかった
・想定読者→とにかく開発者に訴求したい、「独力で」アプリが書ける人を想定、セキュリティ専門家についてはどうでも良い(同業者だし)
・取り上げた脆弱性は、実害がはっきりしているものを重視(OPTIONSとか、バージョンが分かる系は割愛)
・脆弱性サンプルに4つ原則を設けている
・「1.何かしら役に立つ機能である」「2.現場でやってしまいそうな想定」「3.実害のある脆弱性が発現する」「4.ターゲット以外の脆弱性を含まない」
・サンプル作りで大変なのは「正常系のシナリオを考える事」、例えばOSコマンドを呼び出すシチュエーションとかeval()を呼び出すシチュエーションとか……
・GET/POSTの使い分けとか……、GETのれき等性のお話とか(結局扱いきれずに途中で削除した)
・入力値に関するお話、本の中では「ブラックリスト/ホワイトリスト」は出てきていません→誤用・誤読の可能性があるため
・特にホワイトリストで、「1.アプリの仕様として認められたデータの一覧」「2.セキュリティ上安全である事が確実なデータの一覧」の2つの読み方がり、混乱の元となり得るので出しませんでした
(2011/4/23 15:30頃追記)
前半戦の続きです。
・XSS(応用編)の解説、HTMLパーサの扱い(スクリプトタグの終わりの解釈)に、実は罠がある(実際につい最近起きたEVERNOTE XSS事件はこのケース(この件についてはココが参考になります))
・CSRFについては、初稿は評判が悪かった(説明不足で分かりにくかった)→表形式の比較から、絵に変更した
・認証のお話→パスワード認証をいかに安全にするのかが中心
・ただ、最近は攻撃側の能力が高まっている(総当り攻撃)→Saltにストレッチングを加えた手法にした
・書かなかった事→UTF7のXSS(MSのアップデートで再現しなくなってしまった)とか、hiddenパラメータの話とか
・書けなかったこと→Ajax/JSON(最初から書くつもりはなかったけど、第2版を出すチャンスがあれば)、WAFとか
・今後のディスカッションの基準となれば嬉しいし、今後の安全なアプリ開発手法の普及のための一助になれば幸いです
(2011/4/23 15:55頃追記)
今回のおやつは、被災地の銘菓の詰め合わせでした。
そろそろ後半戦スタートです。
(2011/4/23 16:30頃追記)
後半戦スタートしました。後半戦は質疑応答からスタートです。
・本の電子化については、検討中との事らしい……是非ネット上で「電子化希望(プラットフォームも併せて)」と書いて下さい
・HTML5について、HTML4.01として「正しい」対策していれば、概ね問題ないとの事だとか。但し当然HTML5固有の機能は別だし、対策もトリッキーなケースについてはマズいとの事。
