Upload
kyo-ago
View
8.594
Download
0
Embed Size (px)
Citation preview
これからのWeb セキュリティ
フロントエンド編
随時ツッコミ歓迎長くなりそうなら夕食時にでも
自己紹介
自己紹介
・ ChatWork で Web フロントエンドを担当
・セキュリティに関わるきっかけは 「趣味と実益のスタック破壊」
・セキュリティ関係での活動は ApplicationCache poisoning が主
なぜここにいるのか
なぜここにいるのか
・開発技術とセキュリティ技術が非常に近いところに来ている
・開発技術抜きにセキュリティが語られなくなって来ている
これからのWeb セキュリティ
Web セキュリティの歴史
JVN(Japan Vulnerability Notes)セキュリティホール memo
等から抜粋
〜 2000
〜 2000
・まだ「 Web フロントエンド」という言葉はなかった
・ブラウザ自体を攻撃しユーザの端末を乗っ取る攻撃が主流
・「怪しいサイトは訪問しないようにしましょう」
・「セキュリティのために JavaScript はオフに」
〜 2000
・現存していない技術を使った攻撃も多い( JavaApplet 、 ActiveX 、 VBS 、 ActiveScript )
・ chm 、 mhtml 等を利用したメーラ経由の攻撃
・バッファオーバーフロー等危険な攻撃も
・ iframe や window 経由の Origin の詐称
2000 〜 2003
2000 〜 2003
・ CSS の発展と攻撃手法の開発
・ Object 要素なども攻撃対象に
・ブラウザ機能を使っているメーラを経由したウィルスの流行( Nimda 、 Klez )
・各サイトが「スクリプトによる貼り付け処理」を要求する問題
2000 〜 2003
・ブラウザがネット上のバイナリを自動実行する問題
・ローカルファイルの読み取り問題
・ Web サイトのディレクトリ index が公開される事例が多数( office 氏事件)
・クロスサイトスクリプティング黎明期( Namazu 等、著名なものが修正される)
2003 〜 2005
2003 〜 2005
・このへんから各サイトが攻撃されるようになる
・ SQL 、コマンドインジェクション黎明期
・クロスサイトスクリプティングの発展
・画像処理系にいろいろ問題が見つかる( GDI+ のバッファオーバーフローとか)
2005 〜 2008
2005 〜 2008
・ IPA 、「安全なウェブサイトの作り方」公開
・ SQL インジェクション勃興期(多数のサイトが被害を受ける)
・ Wiki 関係の脆弱性多数
・ Flash Player 関係の問題が報告され始める
・ JSON の解析に eval を使う危険性が語られるようになる
2005 〜 2008
・ E4X に仕様上のセキュリティホールが指摘される
・クロスサイトリクエストフォージェリ黎明期(ぼくはまちちゃん)
・マルチバイトドメイン( Punycode )問題
・オレオレ認証局問題
・ DOM based XSS が語られるようになる
2008 〜 2011
2008 〜 2011
・ Adobe Reader の問題が増える
・ E4X のセキュリティホールが(かなり無理やり)修正される
・クロスサイトリクエストフォージェリ勃興期
・ UTF-7 を使った XSS 、 JSON Hijacking が報告され始める
・クリックジャッキングの登場とブラウザ側の対応
・バグ報奨金制度登場
2011 〜 2013
2011 〜 2013
・ E4X のサポートが切られる
・ UTF-7 のサポートが切られる
・ XHR2 が一般化。 jQuery 関係でセキュリティホールの報告が増える( jQuery Mobile 等)
・ WebView の発展とネイティブアプリ XSS( WebView クラスに関する脆弱性、アドレスバー偽装の脆弱性)
2014
2014
・ Flash player 経由の XSS
・文字コード
・ Android WebView
・パスワードリストアタック
2015
2015
・ mXSS
・ VirtualDOM
・ Fingerprint
〜 2015
〜 2015
・ Java
現在
現在
・安全性は上がっている
・ターゲットを絞った攻撃が増えてきた
・仕様レベルで安全性を確保する方向に
・常時暗号化前提の機能拡張
現在
・ ClosureTools が流れを牽引している
・ Contextual Auto Escaping(最近では yahoo/secure-handlebars という選択肢も)
・ Strict Auto Escaping(サーバサイドでいう ScalikeJDBC の SQL Interpolation的なもの)
現在
・脆弱性報奨金制度の発展
・サイボウズ脆弱性報奨金制度
・ミクシィ脆弱性報告制度
・ LINE Bug Bounty
未来
未来
・ Web のアプリ化とアプリの Web 化
・ CSP の普及と進化
・機能追加とパーミッションモデル
新しいセキュリティモデル
新しいセキュリティモデル
・セキュリティモデルの遷移
・新しいセキュリティモデルの構築
・なぜ新しいセキュリティモデルが必要なのか?
セキュリティエンジニアの今後
セキュリティエンジニアの今後
・バグハンター
・セキュリティアーキテクト
・セキュリティマネージャー
Web セキュリティの「フロントエンド」
フロントエンド
・攻撃者視点
・実装者視点
・解析者視点
報奨金制度
Web フロントエンドセキュリティの今後
何を理解してほしいか
何を理解してほしいか
・ 2000年くらいからのセキュリティ史
・セキュリティの流れ
・歴史を学ぶ意味
ご静聴ありがとうございました