これからのWeb セキュリティ

フロントエンド編

随時ツッコミ歓迎長くなりそうなら夕食時にでも

自己紹介

自己紹介

・ ChatWork で Web フロントエンドを担当

・セキュリティに関わるきっかけは　「趣味と実益のスタック破壊」

・セキュリティ関係での活動は ApplicationCache poisoning が主

なぜここにいるのか

なぜここにいるのか

・開発技術とセキュリティ技術が非常に近いところに来ている

・開発技術抜きにセキュリティが語られなくなって来ている

これからのWeb セキュリティ

Web セキュリティの歴史

JVN(Japan Vulnerability Notes)セキュリティホール memo

等から抜粋

〜 2000

〜 2000

・まだ「 Web フロントエンド」という言葉はなかった

・ブラウザ自体を攻撃しユーザの端末を乗っ取る攻撃が主流

・「怪しいサイトは訪問しないようにしましょう」

・「セキュリティのために JavaScript はオフに」

〜 2000

・現存していない技術を使った攻撃も多い（ JavaApplet 、 ActiveX 、 VBS 、 ActiveScript ）

・ chm 、 mhtml 等を利用したメーラ経由の攻撃

・バッファオーバーフロー等危険な攻撃も

・ iframe や window 経由の Origin の詐称

2000 〜 2003

2000 〜 2003

・ CSS の発展と攻撃手法の開発

・ Object 要素なども攻撃対象に

・ブラウザ機能を使っているメーラを経由したウィルスの流行（ Nimda 、 Klez ）

・各サイトが「スクリプトによる貼り付け処理」を要求する問題

2000 〜 2003

・ブラウザがネット上のバイナリを自動実行する問題

・ローカルファイルの読み取り問題

・ Web サイトのディレクトリ index が公開される事例が多数（ office 氏事件）

・クロスサイトスクリプティング黎明期（ Namazu 等、著名なものが修正される）

2003 〜 2005

2003 〜 2005

・このへんから各サイトが攻撃されるようになる

・ SQL 、コマンドインジェクション黎明期

・クロスサイトスクリプティングの発展

・画像処理系にいろいろ問題が見つかる（ GDI+ のバッファオーバーフローとか）

2005 〜 2008

2005 〜 2008

・ IPA 、「安全なウェブサイトの作り方」公開

・ SQL インジェクション勃興期（多数のサイトが被害を受ける）

・ Wiki 関係の脆弱性多数

・ Flash Player 関係の問題が報告され始める

・ JSON の解析に eval を使う危険性が語られるようになる

2005 〜 2008

・ E4X に仕様上のセキュリティホールが指摘される

・クロスサイトリクエストフォージェリ黎明期（ぼくはまちちゃん）

・マルチバイトドメイン（ Punycode ）問題

・オレオレ認証局問題

・ DOM based XSS が語られるようになる

2008 〜 2011

2008 〜 2011

・ Adobe Reader の問題が増える

・ E4X のセキュリティホールが（かなり無理やり）修正される

・クロスサイトリクエストフォージェリ勃興期

・ UTF-7 を使った XSS 、 JSON Hijacking が報告され始める

・クリックジャッキングの登場とブラウザ側の対応

・バグ報奨金制度登場

2011 〜 2013

2011 〜 2013

・ E4X のサポートが切られる

・ UTF-7 のサポートが切られる

・ XHR2 が一般化。 jQuery 関係でセキュリティホールの報告が増える（ jQuery Mobile 等）

・ WebView の発展とネイティブアプリ XSS（ WebView クラスに関する脆弱性、アドレスバー偽装の脆弱性）

2014

2014

・ Flash player 経由の XSS

・文字コード

・ Android WebView

・パスワードリストアタック

2015

2015

・ mXSS

・ VirtualDOM

・ Fingerprint

〜 2015

〜 2015

・ Java

現在

現在

・安全性は上がっている

・ターゲットを絞った攻撃が増えてきた

・仕様レベルで安全性を確保する方向に

・常時暗号化前提の機能拡張

現在

・ ClosureTools が流れを牽引している

・ Contextual Auto Escaping（最近では yahoo/secure-handlebars という選択肢も）

・ Strict Auto Escaping（サーバサイドでいう ScalikeJDBC の SQL Interpolation的なもの）

現在

・脆弱性報奨金制度の発展

・サイボウズ脆弱性報奨金制度

・ミクシィ脆弱性報告制度

・ LINE Bug Bounty

未来

未来

・ Web のアプリ化とアプリの Web 化

・ CSP の普及と進化

・機能追加とパーミッションモデル

新しいセキュリティモデル

新しいセキュリティモデル

・セキュリティモデルの遷移

・新しいセキュリティモデルの構築

・なぜ新しいセキュリティモデルが必要なのか？

セキュリティエンジニアの今後

セキュリティエンジニアの今後

・バグハンター

・セキュリティアーキテクト

・セキュリティマネージャー

Web セキュリティの「フロントエンド」

フロントエンド

・攻撃者視点

・実装者視点

・解析者視点

報奨金制度

Web フロントエンドセキュリティの今後

何を理解してほしいか

何を理解してほしいか

・ 2000年くらいからのセキュリティ史

・セキュリティの流れ

・歴史を学ぶ意味

ご静聴ありがとうございました