CSS Nite in Ginza, Vol.52 「Web制作者に贈る Webのセキュリティ3つの誤解」

16日に開催されたCSS Nite in Ginza, Vol.52(cssnite.jp)に行ってきました。bAの太田良典さんによるウェブセキュリティの話です。

既にフォローアップ(cssnite.jp)でスライドや音声が公開されていますが、気になったところのメモと感想を書いておきます。

最近のbA作品

私も書いてみました(www.theshodo.com)。ちなみに、私の環境にはIE9βが入れられないようなので絶望しています。

ガンブラーの話

ウィルス感染を防ぐ

アカウント情報を盗まれない

サイト改竄を防ぐ

  • IPアドレスで接続元を制限する。

害のあるセキュリティポリシー

コピペ疑惑

決して小さくはないし、そもそもファイルサイズの大小はセキュリティ的に関係ないのでは?という話。

「SSL2.0を有効にせよ」という指示

  • 有効にする必要はない。最近のブラウザは(通常の設定では)そもそもできない。
  • とりあえず「SSL」と名の付くものは有効にすれない良いと思っている? TLSのことは知らない?
  • 「ぜんぶ有効」はダメ! ゼッタイ!

最強の128bit?

  • 128bitが最強だったのは太古の昔の話。
  • 仮に最強だったとして、その意味をユーザーが理解できるか。

128bitが最強などと嘯くだけならともかく、実際に使われている方式と説明が異なることもありますね。

たとえば「りそなダイレクト」では、セキュリティQ&A (1)(www.resona-gr.co.jp)128ビットSSL(Secure Socket Layer)による暗号化を実施しています。と説明しておきながら、ログインページ(ib.resonabank.co.jp)で証明書を確認すると TLS1.0 による 256bit AES となっています。こうなると、もう完全にですよね…。

暗号化「している」のでご安心ください?

  • 暗号化されていなければ意味がない。
  • その確認はユーザーが行うもので、運営側でできるものではない。

個人的には、「安心してください」と言われた場合はむしろ疑ってかかった方がよいとさえ思います。少なくとも、私が疑念を抱いて問い合わせた中で、本当に安心して良かったケースは今のところ一つもありません。

Cookieの嘘

  • Cookieでは技術的に個人を識別できる
  • ポリシーなら「識別できません」ではなく「識別しません」では?

JavaScriptを有効に?

  • IEで「スクリプトによる貼り付け処理の許可」を有効にしてはいけない。IE7以降はデフォルトが「ダイアログを表示する」に。
  • 「アクティブスクリプト」だけ有効にすれば充分。
  • 「ぜんぶ有効」はダメ! ゼッタイ!

要するに、これだけ問題ある記述が氾濫している背景は、書いている方もよく分からないままコピペしているからではないか、ということですね。

昔の「攻撃」と今の「攻撃」

  • より弱い部分が攻撃される。サーバー(クラック)→アプリケーション(XSSやSQLインジェクション)→運営者(ガンブラー)
  • 昔: 改ざんが目的、今: 個人情報の取得などが目的
  • 開発者やプログラマーが頑張らなくてはならない。

司会の鷹野さんも仰っていましたが、全体的にとても凝縮された内容でした。これだけの内容を1時間でまとめられるのはすごいですね。