log

安全なwebアプリケーションの作り方 400-467

  • 携帯電話向けwebアプリケーションについて。
    • 脆弱性ありすぎっていうか、docomo/au/softbank で仕様が違いすぎて、固有番号の仕様も違えばJavaScriptの仕様も違うし、?保存できないし、勝手な実装してたりするし、最悪すぎて対応めんどくさすぎるでしょ
    • かんたんログインがほんとに”ヤバイ
    • バイのに、提供している側が仕様/実装方法を公開せず、それを金銭などの絡むクリティカルなものに使っているのがやばい。
    • iPhone が普及して、ほんとに、ほんとによかったんだなって心から思った。こんな対策したくない。
    • たぶんこれから先使うことはないから、詳細とやばさを知りたいときはこの7章読むと良いと思う
    • 高木浩光さんがほんとうに面白かった。
    • http://takagi-hiromitsu.jp/diary/20100425.html
    • http://takagi-hiromitsu.jp/diary/20100221.html
    • http://takagi-hiromitsu.jp/diary/20100228.html
    • この記事がおすすめされてたんだけど、マジで「なくなるべき」って何度も書いていて、なくなってよかった。

  • webサイトの安全性を高める方法についてだった。
  • なんか読んでたら怖くなったので、途中からさくらVPSで借りてる自分のサーバの脆弱性を確認していた。
    • したこと:iptables 見る、全ユーザの最終ログイン時間とかを見る、sshログのFailを見る、nmap [ipアドレス] -p1-65535 してポート閉められてるか見る、/etc/ssh/sshd_config でパスワード認証オフにしてるかどうか見る、みたいなことをしていた。めっちゃ時間かかった。もたもたしたので慣れたい。
  • 使ってるサービスというか、言語の脆弱性JVN とかでちゃんと見て、その対処法をちゃんと考えるの、大事。でも見つかったばっかりのときは根本的な対処出来ないときもあるから、暫定的な回避策を実施する必要があるよ
    • ちゃんとテスト環境で検証して、サーバ再起動とか切り戻しとかちゃんと調べよう
    • バックアップもちゃんと取ろう
    • めっちゃ小さいときや多少のサイト停止を許容出来るときはテスト環境無視でそのままパッチ適用してもよさそう?←これわたしが個人的に運用してるサービスとかならこうするのが一番楽そう
  • webサーバの脆弱性/管理ソフトに対する不正ログイン/なりすまし/盗聴/改ざん/マルウェア対策、ざっと書いたけど、たぶんどれもちょっと考えると当たり前のことなんだよな
  • マルウェア対策の責任、全員に責任があると考えられるっぽい。運営者、ファイルの投稿者、ファイルの閲覧者。まあ感染する方も悪いよね
    • ポリシーを定めて、それについて利用者に告知するとよい◎

  • 開発マネジメントでのセキュリティ施策について
  • まず、開発標準をちゃんと定める!とよさそう。薄くてわかりやすくて簡潔で改善され続けているものがあると、コスパがよい
  • チームでも開発標準を守るようにする、書いてて思ったけど、この形式ってどこの会社にも適用されるんだろうか?最近のweb系のセキュリティって、専門のチームがいて自社サービスのセキュリティ関連を全部丸投げってイメージなんだけど、どうなんだろ
  • セキュリティチェックについて、ウェブ健康診断仕様( https://www.ipa.go.jp/files/000017319.pdf )がスゴイ。これ自動化してビルドするたびにチェックするとかありそう。
  • 最近の自社サービス持ってる会社のセキュリティチェックってどうやってるのかまったく想像がつかない………
  • 運用ではログ監視したり、新しい手法の攻撃とかへの対応してるか、とか、前診断したあとに追加した機能/ページに対する診断とかをやるとよさげ?
  • 最終的には、ちゃんとしたガイドラインの策定と、それを守る能力のあるチームメンバーの教育が必要って感じ

この本終わり!!!!!!!!!!!!お疲れ様でした!!!!!!!!!!!!!!