Submit Search
Upload
ES6時代におけるWeb開発者とセキュリティ業界の乖離
•
56 likes
•
19,339 views
Y
Yosuke HASEGAWA
Follow
開発側から見たセキュリティ業界に対する懸念と求めるもの
Read less
Read more
Internet
Report
Share
Report
Share
1 of 10
Download now
Download to read offline
Recommended
20130626 movable type seminar
20130626 movable type seminar
Six Apart
A 1-2 One ASP.NET - ASP.NET Web Stack
A 1-2 One ASP.NET - ASP.NET Web Stack
GoAzure
20140416 Movable Type Seminar
20140416 Movable Type Seminar
Six Apart
20130611 movable type nagoya seminar
20130611 movable type nagoya seminar
Six Apart
新世代Java scriptコントロール wijmo5 devsumi_150219
新世代Java scriptコントロール wijmo5 devsumi_150219
Akiyoshi Yamazaki
Java scriptライブラリ「wijmo(ウィジモ)」による日本仕様のUI開発
Java scriptライブラリ「wijmo(ウィジモ)」による日本仕様のUI開発
Akiyoshi Yamazaki
【デブサミ関西C4】JavaScriptライブラリ Wijmo[ウィジモ]ご紹介
【デブサミ関西C4】JavaScriptライブラリ Wijmo[ウィジモ]ご紹介
Developers Summit
WebフレームワークXSS対策の自動化
WebフレームワークXSS対策の自動化
Yoshihiro Ura
Recommended
20130626 movable type seminar
20130626 movable type seminar
Six Apart
A 1-2 One ASP.NET - ASP.NET Web Stack
A 1-2 One ASP.NET - ASP.NET Web Stack
GoAzure
20140416 Movable Type Seminar
20140416 Movable Type Seminar
Six Apart
20130611 movable type nagoya seminar
20130611 movable type nagoya seminar
Six Apart
新世代Java scriptコントロール wijmo5 devsumi_150219
新世代Java scriptコントロール wijmo5 devsumi_150219
Akiyoshi Yamazaki
Java scriptライブラリ「wijmo(ウィジモ)」による日本仕様のUI開発
Java scriptライブラリ「wijmo(ウィジモ)」による日本仕様のUI開発
Akiyoshi Yamazaki
【デブサミ関西C4】JavaScriptライブラリ Wijmo[ウィジモ]ご紹介
【デブサミ関西C4】JavaScriptライブラリ Wijmo[ウィジモ]ご紹介
Developers Summit
WebフレームワークXSS対策の自動化
WebフレームワークXSS対策の自動化
Yoshihiro Ura
20120616
20120616
小野 修司
概説 Data API v3
概説 Data API v3
Yuji Takayama
Data API 2.0
Data API 2.0
Yuji Takayama
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
MTAppjQueryでマニュアルいらずの管理画面を
MTAppjQueryでマニュアルいらずの管理画面を
bitpart
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
iOSでMVVM入門
iOSでMVVM入門
ishikawa akira
20140524 hands on_upload
20140524 hands on_upload
Six Apart
詳説 Data api mtddc 拡張版 v3対応
詳説 Data api mtddc 拡張版 v3対応
Yuji Takayama
20150209 movable type seminar
20150209 movable type seminar
Six Apart
Media Assembly Kit
Media Assembly Kit
Hiromichi Koga
About WinJS
About WinJS
Osamu Monoe
20120128
20120128
小野 修司
20140120 Movable Type Seminar
20140120 Movable Type Seminar
Six Apart
Data apiで実現 進化するwebの世界
Data apiで実現 進化するwebの世界
Yuji Takayama
Movable Type as a Playground
Movable Type as a Playground
Taku AMANO
20130909 movable type_seminar
20130909 movable type_seminar
Six Apart
20130911 Movable Type Seminar
20130911 Movable Type Seminar
Six Apart
Data API ことはじめ
Data API ことはじめ
Yuji Takayama
せっかくだから俺はこの NPAPI の話をするぜ
せっかくだから俺はこの NPAPI の話をするぜ
Naruto TAKAHASHI
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Yosuke HASEGAWA
More Related Content
What's hot
20120616
20120616
小野 修司
概説 Data API v3
概説 Data API v3
Yuji Takayama
Data API 2.0
Data API 2.0
Yuji Takayama
20160209 power cms_cloud_public
20160209 power cms_cloud_public
Six Apart
20160208 power cms_cloud_public
20160208 power cms_cloud_public
Six Apart
MTAppjQueryでマニュアルいらずの管理画面を
MTAppjQueryでマニュアルいらずの管理画面を
bitpart
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
Six Apart
iOSでMVVM入門
iOSでMVVM入門
ishikawa akira
20140524 hands on_upload
20140524 hands on_upload
Six Apart
詳説 Data api mtddc 拡張版 v3対応
詳説 Data api mtddc 拡張版 v3対応
Yuji Takayama
20150209 movable type seminar
20150209 movable type seminar
Six Apart
Media Assembly Kit
Media Assembly Kit
Hiromichi Koga
About WinJS
About WinJS
Osamu Monoe
20120128
20120128
小野 修司
20140120 Movable Type Seminar
20140120 Movable Type Seminar
Six Apart
Data apiで実現 進化するwebの世界
Data apiで実現 進化するwebの世界
Yuji Takayama
Movable Type as a Playground
Movable Type as a Playground
Taku AMANO
20130909 movable type_seminar
20130909 movable type_seminar
Six Apart
20130911 Movable Type Seminar
20130911 Movable Type Seminar
Six Apart
Data API ことはじめ
Data API ことはじめ
Yuji Takayama
What's hot
(20)
20120616
20120616
概説 Data API v3
概説 Data API v3
Data API 2.0
Data API 2.0
20160209 power cms_cloud_public
20160209 power cms_cloud_public
20160208 power cms_cloud_public
20160208 power cms_cloud_public
MTAppjQueryでマニュアルいらずの管理画面を
MTAppjQueryでマニュアルいらずの管理画面を
20160317 ichigaya mt_cloud_handson
20160317 ichigaya mt_cloud_handson
iOSでMVVM入門
iOSでMVVM入門
20140524 hands on_upload
20140524 hands on_upload
詳説 Data api mtddc 拡張版 v3対応
詳説 Data api mtddc 拡張版 v3対応
20150209 movable type seminar
20150209 movable type seminar
Media Assembly Kit
Media Assembly Kit
About WinJS
About WinJS
20120128
20120128
20140120 Movable Type Seminar
20140120 Movable Type Seminar
Data apiで実現 進化するwebの世界
Data apiで実現 進化するwebの世界
Movable Type as a Playground
Movable Type as a Playground
20130909 movable type_seminar
20130909 movable type_seminar
20130911 Movable Type Seminar
20130911 Movable Type Seminar
Data API ことはじめ
Data API ことはじめ
Viewers also liked
せっかくだから俺はこの NPAPI の話をするぜ
せっかくだから俺はこの NPAPI の話をするぜ
Naruto TAKAHASHI
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Yosuke HASEGAWA
Firefoxの倒し方
Firefoxの倒し方
Muneaki Nishimura
enchant.js meetup! ショートセッション「はじめてのenchant.js AtlasXでゲームをつくる」
enchant.js meetup! ショートセッション「はじめてのenchant.js AtlasXでゲームをつくる」
wise9
楽しいバグハントの世界
楽しいバグハントの世界
llamakko_cafe
Coffee Scriptでenchant.js
Coffee Scriptでenchant.js
Naoyuki Totani
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
Muneaki Nishimura
バグハントの話2016up
バグハントの話2016up
Yuji Kazan
proxy2: HTTPS pins and needles
proxy2: HTTPS pins and needles
inaz2
BABELで、ES2015(ES6)を学ぼう!
BABELで、ES2015(ES6)を学ぼう!
Toshio Ehara
今すぐブラウザでES6を使おう
今すぐブラウザでES6を使おう
Hayashi Yuichi
Lets start-react
Lets start-react
Horiguchi Seito
Using JavaScript ES2015 (ES6), ES2016, ES2017 in production
Using JavaScript ES2015 (ES6), ES2016, ES2017 in production
Anže Žnidaršič
20141030 html5j-firefox os-deviceapi
20141030 html5j-firefox os-deviceapi
Noritada Shimizu
Windows ストアアプリから使かえるセンサーAPIとデバイスAPI
Windows ストアアプリから使かえるセンサーAPIとデバイスAPI
Osamu Monoe
ウェブ標準デバイス系 API 総集編 2014
ウェブ標準デバイス系 API 総集編 2014
Futomi Hatano
いでよ、電卓!
いでよ、電卓!
Masato Kinugawa
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
バグハンターの哀しみ
バグハンターの哀しみ
Masato Kinugawa
覚醒JavaScript -ES6で作るIsomophicアプリケーション-
覚醒JavaScript -ES6で作るIsomophicアプリケーション-
Oonishi Keitarou
Viewers also liked
(20)
せっかくだから俺はこの NPAPI の話をするぜ
せっかくだから俺はこの NPAPI の話をするぜ
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Firefoxの倒し方
Firefoxの倒し方
enchant.js meetup! ショートセッション「はじめてのenchant.js AtlasXでゲームをつくる」
enchant.js meetup! ショートセッション「はじめてのenchant.js AtlasXでゲームをつくる」
楽しいバグハントの世界
楽しいバグハントの世界
Coffee Scriptでenchant.js
Coffee Scriptでenchant.js
Find Blue Oceans - Through the Competitive World of Bug Bounty
Find Blue Oceans - Through the Competitive World of Bug Bounty
バグハントの話2016up
バグハントの話2016up
proxy2: HTTPS pins and needles
proxy2: HTTPS pins and needles
BABELで、ES2015(ES6)を学ぼう!
BABELで、ES2015(ES6)を学ぼう!
今すぐブラウザでES6を使おう
今すぐブラウザでES6を使おう
Lets start-react
Lets start-react
Using JavaScript ES2015 (ES6), ES2016, ES2017 in production
Using JavaScript ES2015 (ES6), ES2016, ES2017 in production
20141030 html5j-firefox os-deviceapi
20141030 html5j-firefox os-deviceapi
Windows ストアアプリから使かえるセンサーAPIとデバイスAPI
Windows ストアアプリから使かえるセンサーAPIとデバイスAPI
ウェブ標準デバイス系 API 総集編 2014
ウェブ標準デバイス系 API 総集編 2014
いでよ、電卓!
いでよ、電卓!
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
バグハンターの哀しみ
バグハンターの哀しみ
覚醒JavaScript -ES6で作るIsomophicアプリケーション-
覚醒JavaScript -ES6で作るIsomophicアプリケーション-
Similar to ES6時代におけるWeb開発者とセキュリティ業界の乖離
マイクロソフトにとってのWebって?
マイクロソフトにとってのWebって?
Microsoft
DEV-008_Developing on the Edge. ~Web プラットフォームと Cordova~
DEV-008_Developing on the Edge. ~Web プラットフォームと Cordova~
decode2016
ionic - cross platform mobile app 開発
ionic - cross platform mobile app 開発
Seunghun Lee
HTML5 クロスプラットフォームアプリ開発の現実解
HTML5 クロスプラットフォームアプリ開発の現実解
Monaca
Xamarin 紹介:Windows Phone / iOS / Android アプリ同時開発のススメ 2015/8/20 版
Xamarin 紹介:Windows Phone / iOS / Android アプリ同時開発のススメ 2015/8/20 版
Yoshito Tabuchi
Xamarin 概要 2014年08月版
Xamarin 概要 2014年08月版
Yoshito Tabuchi
Closure Toolsの紹介
Closure Toolsの紹介
Yusuke Amano
メトロスタイルアプリ開発最初の一歩
メトロスタイルアプリ開発最初の一歩
ShinichiAoyagi
JavaScript(AngularJS・React.js)で作る iOS・Androidアプリハンズオン
JavaScript(AngularJS・React.js)で作る iOS・Androidアプリハンズオン
Kazuhiro Yoshimoto
アプリ開発も出来るイマドキのWeb技術入門(エンジニア適職フェアWeb技術入門セミナー)
アプリ開発も出来るイマドキのWeb技術入門(エンジニア適職フェアWeb技術入門セミナー)
友太 渡辺
PhoneGapでWebアプリをスマホアプリ化
PhoneGapでWebアプリをスマホアプリ化
Takashi Okamoto
Flux react現状確認会
Flux react現状確認会
VOYAGE GROUP
HTML5でスマートフォン開発の理想と現実
HTML5でスマートフォン開発の理想と現実
Takumi Ohashi
HTML5 で開発する Windows 8 ネイティブアプリ
HTML5 で開発する Windows 8 ネイティブアプリ
Osamu Monoe
Windows Phone / iOS / Android アプリ同時開発のススメ
Windows Phone / iOS / Android アプリ同時開発のススメ
Yoshito Tabuchi
.NET の過去、現在、そして未来 ~ .NET 最新アップデート
.NET の過去、現在、そして未来 ~ .NET 最新アップデート
Akira Inoue
jQuery/Html5/ASP.NET MVC 対応コンポーネントを用いたデバイス対応業務アプリケーション開発
jQuery/Html5/ASP.NET MVC 対応コンポーネントを用いたデバイス対応業務アプリケーション開発
Daizen Ikehara
Visual Studio 2012 で実現する HTML5 & マルチ デバイス時代の Web 開発
Visual Studio 2012 で実現する HTML5 & マルチ デバイス時代の Web 開発
Akira Inoue
Phone gap+javascriptスマホアプリ開発(入門編)
Phone gap+javascriptスマホアプリ開発(入門編)
Monaca
Tiなごや vol.3 Alloyやろまい
Tiなごや vol.3 Alloyやろまい
Mori Shingo
Similar to ES6時代におけるWeb開発者とセキュリティ業界の乖離
(20)
マイクロソフトにとってのWebって?
マイクロソフトにとってのWebって?
DEV-008_Developing on the Edge. ~Web プラットフォームと Cordova~
DEV-008_Developing on the Edge. ~Web プラットフォームと Cordova~
ionic - cross platform mobile app 開発
ionic - cross platform mobile app 開発
HTML5 クロスプラットフォームアプリ開発の現実解
HTML5 クロスプラットフォームアプリ開発の現実解
Xamarin 紹介:Windows Phone / iOS / Android アプリ同時開発のススメ 2015/8/20 版
Xamarin 紹介:Windows Phone / iOS / Android アプリ同時開発のススメ 2015/8/20 版
Xamarin 概要 2014年08月版
Xamarin 概要 2014年08月版
Closure Toolsの紹介
Closure Toolsの紹介
メトロスタイルアプリ開発最初の一歩
メトロスタイルアプリ開発最初の一歩
JavaScript(AngularJS・React.js)で作る iOS・Androidアプリハンズオン
JavaScript(AngularJS・React.js)で作る iOS・Androidアプリハンズオン
アプリ開発も出来るイマドキのWeb技術入門(エンジニア適職フェアWeb技術入門セミナー)
アプリ開発も出来るイマドキのWeb技術入門(エンジニア適職フェアWeb技術入門セミナー)
PhoneGapでWebアプリをスマホアプリ化
PhoneGapでWebアプリをスマホアプリ化
Flux react現状確認会
Flux react現状確認会
HTML5でスマートフォン開発の理想と現実
HTML5でスマートフォン開発の理想と現実
HTML5 で開発する Windows 8 ネイティブアプリ
HTML5 で開発する Windows 8 ネイティブアプリ
Windows Phone / iOS / Android アプリ同時開発のススメ
Windows Phone / iOS / Android アプリ同時開発のススメ
.NET の過去、現在、そして未来 ~ .NET 最新アップデート
.NET の過去、現在、そして未来 ~ .NET 最新アップデート
jQuery/Html5/ASP.NET MVC 対応コンポーネントを用いたデバイス対応業務アプリケーション開発
jQuery/Html5/ASP.NET MVC 対応コンポーネントを用いたデバイス対応業務アプリケーション開発
Visual Studio 2012 で実現する HTML5 & マルチ デバイス時代の Web 開発
Visual Studio 2012 で実現する HTML5 & マルチ デバイス時代の Web 開発
Phone gap+javascriptスマホアプリ開発(入門編)
Phone gap+javascriptスマホアプリ開発(入門編)
Tiなごや vol.3 Alloyやろまい
Tiなごや vol.3 Alloyやろまい
More from Yosuke HASEGAWA
次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)
Yosuke HASEGAWA
JavaScript難読化読経
JavaScript難読化読経
Yosuke HASEGAWA
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
Bypass SOP, Theft Your Data - XSS Allstars from Japan / OWASP AppSec APAC 2014
Bypass SOP, Theft Your Data - XSS Allstars from Japan / OWASP AppSec APAC 2014
Yosuke HASEGAWA
Chrome-eject がこの先生きのこるには
Chrome-eject がこの先生きのこるには
Yosuke HASEGAWA
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
Yosuke HASEGAWA
WindowsユーザのためのはじめてのPerlプログラミング
WindowsユーザのためのはじめてのPerlプログラミング
Yosuke HASEGAWA
More from Yosuke HASEGAWA
(7)
次世代プラットフォームのセキュリティモデル考察(前編)
次世代プラットフォームのセキュリティモデル考察(前編)
JavaScript難読化読経
JavaScript難読化読経
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Bypass SOP, Theft Your Data - XSS Allstars from Japan / OWASP AppSec APAC 2014
Bypass SOP, Theft Your Data - XSS Allstars from Japan / OWASP AppSec APAC 2014
Chrome-eject がこの先生きのこるには
Chrome-eject がこの先生きのこるには
[デブサミ2012]趣味と実益の脆弱性発見
[デブサミ2012]趣味と実益の脆弱性発見
WindowsユーザのためのはじめてのPerlプログラミング
WindowsユーザのためのはじめてのPerlプログラミング
Recently uploaded
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
okitamasashi
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ivanwang53
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
ivanwang53
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
ivanwang53
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
ivanwang53
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
Taka Narita
Recently uploaded
(6)
動的 & 非同期コンポーネント / Dynamic & Async Components
動的 & 非同期コンポーネント / Dynamic & Async Components
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
ダウンロードがダウンロード(Downloads)フォルダに表示されない」問題の対処法
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windowsアップデート後の黒い画面を修正する方法|データ復元|ブラックスクリーン
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows 10、Windows 11の付箋を簡単に復元する6つの方法|データ復元
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
Windows Defenderのフル・クイック・カスタム・オフラインスキャンを実行する方法.docx
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
あらゆる通信環境で切れない「ネットモーション」のモバイルアクセス [NetMotion]
ES6時代におけるWeb開発者とセキュリティ業界の乖離
1.
ES6時代における Web開発者と セキュリティ業界の乖離 開発側から見たセキュリティ業界に 対する懸念と求めるもの
2.
過激派 注意!
3.
いまどきのWeb開発 • 静的なHTML+API • アプリとWebの共通化、SPA •
コンパイルされたJS • AltJS、Closure Compiler • MV*、データバインディング • Vue.js、AngularJS • Virtual DOM • React
4.
静的なHTML+API • サーバサイドではHTMLを生成しない • スマホ用アプリとWebでバックエンドを共通化 •
Single Page Applicationsの台頭 • JSON等のAPIのみのレスポンス • 脆弱性検査する側 • 「ページ単位」でのボリューム管理の破たん • 反射型、蓄積型XSSの根絶 • もちろんSQLインジェクションなども存在しない
5.
コンパイルされたJS • AltJS、Closure Compiler等の利用 •
TypeScript、CoffeeScript、JSX • Closure Compiler - オートエスケープ • 脆弱性検査する側 • minifyされたJavaScriptが読めない • 使用された言語上での注意すべき点がわからない
6.
MV*、データバインディング • MVVM、MVCフレームワークの利用 • Vue.js、AngularJSなど •
生でDOMを触らない • HTMLへのデータバインディング機構 • 脆弱性検査する側 • DOM-based XSSさえ発生しにくい • コードが読めない • 使用されたフレームワークでの注意すべき点がわか らない (AngularJSでのカスタムディレクティブなど)
7.
Virtual DOM • Reactに代表されるDOM操作の革命 •
JS Objとして仮想的なDOM構造を持つ • JS ObjからDOMへの一方的な吐き出し • 脆弱性検査する側 • DOM-based XSSはほとんど根絶 • コードが読めない • 見るべき項目が分からない
8.
いまどきのWeb開発 • 脆弱性検査する側 • 言語やフレームワークごとの注意すべき点というの がわからない •
そもそもコードが読めない • 従来の脆弱性は原理上ほとんど発生し得ない • どういう観点で検査をすればいいのかわからない
9.
よくある意見 「全員がそういう開発手法ではない」
10.
「全員がそういう開発手法ではない」 • 「従来からの開発手法が大半だから、そういう 開発者のために、これまで通りの検査が必要」 • それって「ただのツールが使えない人」だよね •
新しい開発手法ならそもそも脆弱性が発生しな い • セキュリティ向上のためには新しい手法を広め るほうが意義があるのでは
Download now