Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

これからのWebセキュリティ フロントエンド編 #seccamp

20,464 views

Published on

セキュリティキャンプ2015

Published in: Software
  • Be the first to comment

これからのWebセキュリティ フロントエンド編 #seccamp

  1. 1. これからの Webセキュリティ フロントエンド編
  2. 2. 随時ツッコミ歓迎 長くなりそうなら夕食時にでも
  3. 3. 自己紹介
  4. 4. 自己紹介 ・ChatWork でWebフロントエンドを担当 ・セキュリティに関わるきっかけは 「趣味と実益のスタック破壊」 ・セキュリティ関係での活動はApplicationCache poisoningが主
  5. 5. なぜここにいるのか
  6. 6. なぜここにいるのか ・開発技術とセキュリティ技術が非常に近いところに来 ている ・開発技術抜きにセキュリティが語られなくなって来て いる
  7. 7. これからの Webセキュリティ
  8. 8. Webセキュリティの歴史 JVN(Japan Vulnerability Notes) セキュリティホール memo 等から抜粋
  9. 9. 〜2000
  10. 10. 〜2000 ・まだ「Webフロントエンド」という言葉はなかった ・ブラウザ自体を攻撃しユーザの端末を乗っ取る攻撃が主流 ・「怪しいサイトは訪問しないようにしましょう」 ・「セキュリティのためにJavaScriptはオフに」
  11. 11. 〜2000 ・現存していない技術を使った攻撃も多い (JavaApplet、ActiveX、VBS、ActiveScript) ・chm、mhtml等を利用したメーラ経由の攻撃 ・バッファオーバーフロー等危険な攻撃も ・iframeやwindow経由のOriginの詐称
  12. 12. 2000〜2003
  13. 13. 2000〜2003 ・CSSの発展と攻撃手法の開発 ・Object要素なども攻撃対象に ・ブラウザ機能を使っているメーラを経由したウィルスの流行 (Nimda、Klez) ・各サイトが「スクリプトによる貼り付け処理」を要求する問題
  14. 14. 2000〜2003 ・ブラウザがネット上のバイナリを自動実行する問題 ・ローカルファイルの読み取り問題 ・Webサイトのディレクトリindexが公開される事例が多数 (office氏事件) ・クロスサイトスクリプティング黎明期 (Namazu等、著名なものが修正される)
  15. 15. 2003〜2005
  16. 16. 2003〜2005 ・このへんから各サイトが攻撃されるようになる ・SQL、コマンドインジェクション黎明期 ・クロスサイトスクリプティングの発展 ・画像処理系にいろいろ問題が見つかる (GDI+のバッファオーバーフローとか)
  17. 17. 2005〜2008
  18. 18. 2005〜2008 ・IPA、「安全なウェブサイトの作り方」公開 ・SQLインジェクション勃興期(多数のサイトが被害を受ける) ・Wiki関係の脆弱性多数 ・Flash Player関係の問題が報告され始める ・JSONの解析にevalを使う危険性が語られるようになる
  19. 19. 2005〜2008 ・E4Xに仕様上のセキュリティホールが指摘される ・クロスサイトリクエストフォージェリ黎明期(ぼくはまちちゃん) ・マルチバイトドメイン(Punycode)問題 ・オレオレ認証局問題 ・DOM based XSSが語られるようになる
  20. 20. 2008〜2011
  21. 21. 2008〜2011 ・Adobe Readerの問題が増える ・E4Xのセキュリティホールが(かなり無理やり)修正される ・クロスサイトリクエストフォージェリ勃興期 ・UTF-7を使ったXSS、JSON Hijackingが報告され始める ・クリックジャッキングの登場とブラウザ側の対応 ・バグ報奨金制度登場
  22. 22. 2011〜2013
  23. 23. 2011〜2013 ・E4Xのサポートが切られる ・UTF-7のサポートが切られる ・XHR2が一般化。jQuery関係でセキュリティホールの報告が増える (jQuery Mobile等) ・WebViewの発展とネイティブアプリXSS (WebViewクラスに関する脆弱性、アドレスバー偽装の脆弱性)
  24. 24. 2014
  25. 25. 2014 ・Flash player経由のXSS ・文字コード ・Android WebView ・パスワードリストアタック
  26. 26. 2015
  27. 27. 2015 ・mXSS ・ VirtualDOM ・Fingerprint
  28. 28. 〜2015
  29. 29. 〜2015 ・Java
  30. 30. 現在
  31. 31. 現在 ・安全性は上がっている ・ターゲットを絞った攻撃が増えてきた ・仕様レベルで安全性を確保する方向に ・常時暗号化前提の機能拡張
  32. 32. 現在 ・ClosureToolsが流れを牽引している ・Contextual Auto Escaping (最近ではyahoo/secure-handlebarsという選択肢も) ・Strict Auto Escaping (サーバサイドでいうScalikeJDBCのSQL Interpolation的なもの)
  33. 33. 現在 ・脆弱性報奨金制度の発展 ・サイボウズ脆弱性報奨金制度 ・ミクシィ脆弱性報告制度 ・LINE Bug Bounty
  34. 34. 未来
  35. 35. 未来 ・Webのアプリ化とアプリのWeb化 ・CSPの普及と進化 ・機能追加とパーミッションモデル
  36. 36. 新しいセキュリティ モデル
  37. 37. 新しいセキュリティモデル ・セキュリティモデルの遷移 ・新しいセキュリティモデルの構築 ・なぜ新しいセキュリティモデルが必要なのか?
  38. 38. セキュリティ エンジニアの今後
  39. 39. セキュリティエンジニアの今後 ・バグハンター ・セキュリティアーキテクト ・セキュリティマネージャー
  40. 40. Webセキュリティの 「フロントエンド」
  41. 41. フロントエンド ・攻撃者視点 ・実装者視点 ・解析者視点
  42. 42. 報奨金制度
  43. 43. Webフロントエンドセ キュリティの今後
  44. 44. 何を理解してほしいか
  45. 45. 何を理解してほしいか ・2000年くらいからのセキュリティ史 ・セキュリティの流れ ・歴史を学ぶ意味
  46. 46. ご静聴ありがとう ございました

×