YAPC::ASIA2008-その一
ここ東工大大岡山キャンパスでは有名人がウヨウヨしており
恐ろしくのどかな風景との馴染み様が非常に新鮮に感じられました。
昨日も来訪した上杉さんによるとLarryWallの講演もあったとか。
http://itpro.nikkeibp.co.jp/article/NEWS/20080515/301890/
こちらの記事では最新のPerl6について紹介があったようです。
YAPC::ASIAのサイト上ではLarryが最近何をしているのかを話す会
とされており、Mixiのご好意によりJAPAN TOURとなったとのことです。
恥ずかしながら写真画像ははじめて見ました。カルロス・サンタナに
似てますな。
はてな伊藤さんもブログに書いていますが、年々環境が向上している
そうで、昼飯はつくし、お菓子もつく。おまけに無線LAN開放と
海外カンファレンス並みの扱いです。有償ですが4000円は高くないでしょう。
私が参加したのは2日目です。
1.how to defend apache/CGI
(サイボウズラボ竹迫さん)
なぜXSSなどの被害はなくならないのか
ということでセキュリティ被害報告の一覧を見ることに。
それによるとWebアプリ脆弱性の件数は
XSS
SQLインジェクション
が基本的に多い
では、顕在化している問題に何故対処できないのかという
問いかけには様々な「大人の事情」が存在するという。
その大きい要因は修正には恐ろしいほどの時間がかかる
ということで掘り下げるとこんなところのようです。
・シェアウェアのCGIを使用している
・サポートに連絡しても・・・
・オープンソースを利用している
・修正予算が取れない
・社内でメンテできない・・・など
XSSの基本的な対処法はサニタイジングですが、最近は
これもかいくぐってIMGタグに悪性画像スクリプトを
混入するという手を使うというのも横行しているとか。
これは正直ブラウザの問題(特にIE6)でそれを
プログラム側で対処するには限界があるという認識。
(cf.HTMLのサニタイズしても駄目なケース
Multibyteをどう防ぐか
→ShiftJIS→EUC-JP変換・IEで出るケースあり
ダブルクオートに変換されて簡単に情報流出
WebアプリでAdhocに対応するのは無理・・・)
竹迫さんが提唱している
waffule.org
(apacheのWebAppricationFirewallという不正な
リクエストを防御するモジュールの提供)
というサイトの紹介です。
これは秀逸でイメージファイト→XSS対策
(悪性画像を無毒化)
や他にもNull文字対応などいろんな機能ありです。
導入方法はApacheモジュールなのでlibexecなどの
ディレクトリにライブラリを入れてhttpd.confに
設定を仕込むという方法です。
上杉さんとも話しましたがApacheモジュールには便利な
モノも存在しているが国内の書籍に良い解説本がないのだ
そうです。
【質問】
・IE6しかこういった問題は起きないのか?
→他はわからない(IE7も同様)
・Mod_waffuleなどではパフォーマンスは大丈夫か?
→きちんと配慮している
続く
恐ろしくのどかな風景との馴染み様が非常に新鮮に感じられました。
昨日も来訪した上杉さんによるとLarryWallの講演もあったとか。
http://
こちらの記事では最新のPerl6について紹介があったようです。
YAPC::ASIAのサイト上ではLarryが最近何をしているのかを話す会
とされており、Mixiのご好意によりJAPAN TOURとなったとのことです。
恥ずかしながら写真画像ははじめて見ました。カルロス・サンタナに
似てますな。
はてな伊藤さんもブログに書いていますが、年々環境が向上している
そうで、昼飯はつくし、お菓子もつく。おまけに無線LAN開放と
海外カンファレンス並みの扱いです。有償ですが4000円は高くないでしょう。
私が参加したのは2日目です。
1.how to defend apache/CGI
(サイボウズラボ竹迫さん)
なぜXSSなどの被害はなくならないのか
ということでセキュリティ被害報告の一覧を見ることに。
それによるとWebアプリ脆弱性の件数は
XSS
SQLインジェクション
が基本的に多い
では、顕在化している問題に何故対処できないのかという
問いかけには様々な「大人の事情」が存在するという。
その大きい要因は修正には恐ろしいほどの時間がかかる
ということで掘り下げるとこんなところのようです。
・シェアウェアのCGIを使用している
・サポートに連絡しても・・・
・オープンソースを利用している
・修正予算が取れない
・社内でメンテできない・・・など
XSSの基本的な対処法はサニタイジングですが、最近は
これもかいくぐってIMGタグに悪性画像スクリプトを
混入するという手を使うというのも横行しているとか。
これは正直ブラウザの問題(特にIE6)でそれを
プログラム側で対処するには限界があるという認識。
(cf.HTMLのサニタイズしても駄目なケース
Multibyteをどう防ぐか
→ShiftJIS→EUC-JP変換・IEで出るケースあり
ダブルクオートに変換されて簡単に情報流出
WebアプリでAdhocに対応するのは無理・・・)
竹迫さんが提唱している
waffule.org
(apacheのWebAppricationFirewallという不正な
リクエストを防御するモジュールの提供)
というサイトの紹介です。
これは秀逸でイメージファイト→XSS対策
(悪性画像を無毒化)
や他にもNull文字対応などいろんな機能ありです。
導入方法はApacheモジュールなのでlibexecなどの
ディレクトリにライブラリを入れてhttpd.confに
設定を仕込むという方法です。
上杉さんとも話しましたがApacheモジュールには便利な
モノも存在しているが国内の書籍に良い解説本がないのだ
そうです。
【質問】
・IE6しかこういった問題は起きないのか?
→他はわからない(IE7も同様)
・Mod_waffuleなどではパフォーマンスは大丈夫か?
→きちんと配慮している
続く