DevSumi2009 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」
イントラだったら関係ない?
- むしろイントラ内の方が盗みたい情報がいっぱいある
JSONによる秘密情報の漏洩
IPA曰く、例えばPHPを避ける?
PHPを避けるべき3つの理由
- 言語処理系としてマルチバイト文字列対応していない
- 拡張モジュールを入れないとマルチバイト文字列を使えない
- デフォルトの文字エンコーディングがライブラリ毎に違う
- 仕様がドキュメント化されていない
- サポート終了が早い
- セキュリティアップデートを適用出来るようにするには、使用するPHPのバージョンアップを頻繁にしなければならないが、その割にはバージョン間の差異がある
なお、PHP4の延長パッチサポートをしている会社がある
ブラウザのバグと仕様の境界
- 仕様に不満があるなら、ちゃんと声を上げよう
- IE8ではIE6,7の酷い仕様を結構直している
WAFってどうよ?
- HTTPリバースプロキシ方式でWebアプリの攻撃から防御する
- WAFの防御戦略
- 入力値検証
- 画面遷移の検証
- 値の保護
- Cookie,Hiddenフィールド
- ブラックリスト
- 基本はアプリ側での対策で、WAFは保険くらいに考える
- 誤検知
- 攻撃なのか、そういう値を入れたいのかの区別というのは難しい
開発者の立場ではWAFはない前提で開発する。
運用管理者の立場ではより安全に運用する為にWAFを入れる。