第16回まっちゃ445勉強会に行ってきた


4月23日に開催された、まっちゃ445勉強会に行ってきました。たまたま一番前の席が空いていて、かぶりつきでお話を聞いてきました。書籍のレビューの話や、サンプルコード作成の話、最近ホットなセキュリティ系の話題など面白い話が盛りだくさんでした。

今回の勉強会はかなり濃い内容で文章にすると長くなりそうなので、講演を聞きながら取ったメモを公開します。

概要

内容:徳丸本メイキング

  • WASF (Web Application Security Forum) で「こんなセキュリティ系書籍があったらいいな」と提言をした。
  • ブログで金床さんの本を「2冊目に読む本だよね」という書評を書いた
    • 言いだしっぺの法則で徳丸さんが本を書くことに…!
  • 2010年5月下旬から原稿を書き始めて、12月下旬に初稿が完成。
  • 超豪華レビュアーが勢ぞろい(山本陽平さん、水無月ばけらさん etc.)
    • さまざまな分野の大御所によるレビューが行われた。
    • レビューはGoogle Groupを利用して進めた。
    • Webアプリセキュリティでは、古い情報では役に立たない。
    • レビューでは、本質的な部分がブレないように記述してほしいというリクエストが多かった。
      • 誰のために(どれぐらいのレベルの読者を想定するか)
        • 開発者に読んでほしい
      • 読者に何を分かってほしいか
        • 脆弱性がどんな被害をもたらすのか知ってほしい
      • 解説の内容がどんどん詳しくなっていく→初心者向けから離れてしまう…!
  • 書籍で紹介した脆弱性
    • IPA「安全なWebサイトの作り方」、LASDEC「Web健康診断」に含まれているものを紹介。
    • サンプル四原則
      • 役に立つこと
      • 現場でやってしまいそうな事例であること
      • 実害があること
      • 他の脆弱性を含まないこと
    • 開発者に実感を持ってほしい
      • コピー&ペーストすれば動作確認できるサンプルが掲載されている。
      • 脆弱性があると本当に危ないんだ、と感じてほしい。
  • サンプルプログラム裏話
    • Validなメールアドレスの例
      • シングルクォート、イコールはメールアドレスのアカウント名に含めてOKだった!
      • SQLみたいなアカウント名も一応Valid。
    • タグの話
      • 複数ある場合
      • 最初のまでJavaScriptとして解釈される。それ以降はHTMLとして扱われる。
      • JavaScriptを動的生成している場合、XSSされる危険性は高い。
      • その割りに情報が少ないから注意が必要。
    • HTML5のセキュリティ
      • オレオレ仕様の勝手な対策はダメ
      • HTML4.01ベースのセキュリティ対策ができていればほぼ大丈夫。

お菓子

今回は、震災の被災地を応援する意味を込めて東北のお菓子がたくさん用意されてました。ずんだもち、ままどおるどらやき萩の月、りんごジュースなどなど。どれもおいしかったー!