徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」その2 ― 2011年04月05日 03時04分23秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
徳丸様。献本ありがとうございます。
やっと感想を少し書きます。
http://www.amazon.co.jp/exec/obidos/ASIN/4797361190/showshotcorne-22/
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と
対策の実践 [大型本]
徳丸 浩 (著
ソフトバンク・クリエイティブにある紹介。
http://www.sbcr.jp/products/4797361193.html
体系的に学ぶ 安全なWebアプリケーションの作り方
まず、ざっくり500ページもあって重い。
中身は、いろんな攻撃手段と防御手段がみっちり書き込んであって、濃密。
攻撃と防御、セキュリティの一般論から始まって、パスワードクラッキング、
シェルインジェクション、SQLインジェクションなどの注入系攻撃、
JavaScriptのクロスサイトスクリプティング(XSS)、クロスサイト・リクエス
トフォージェリ(CSRF)、認証やアカウント管理の方法などなど、いっぱい攻撃
手口と防御手段が丁寧に解説してある。
これだけでも、こんなに集めてまとめたなと感心するが、さらにまだある。
普通のセキュリティ関係の本ではまず見かけない、文字コードにまつわるセ
キュリティや携帯電話にまつわるセキュリティのことまで解説してある。
サンプルコードも、実際に動かして試せるように、VMWare Playerまで入っ
たCD-ROMもついていて、至れり尽くせり。
しかし、ぼくが、この本で、一番、感心したのは、それらではない。
最後に開発マネジメント、開発プロセス自体を改善しないとセキュリティが
守られないことを章を割いて解説してある。
開発チームに一人でもセキュリティ意識の低い人間がいると、そこからやら
れしまう。
ソフトを開発する側だけではなく、発注する側、もっといえば単にソフトを
使う側でも、たとえば、経営者や経営陣がセキュリティ意識が低いと、簡単に
企業のデータを盗まれるし、業務が止まってしまう。ユーザであっても、一人
でもセキュリティ意識の低い人間がいると、そこからやられてしまうのだ。
「セキュリティはプロセス」ということを学生にもよく言うのだが、セキュ
リティは、ファイアウォールを入れたからもう大丈夫、なんとかソフトを入れ
たからもう大丈夫というものではない。組織・チームのマネジメント、プロセ
ス、構造、意識を日々改善していくことが重要。
世のセキュリティ技術の解説では、技術解説に終始して、マネジメントやプ
ロセスの重要性を強調していないものが大半だ。そのせいもあってか、マネジ
メントやプロセスの重要性がなかなか世間で認知されていないし、認識しても
実践されていないのが、現状だろう。
ぼくが読んだ本で、その重要性を書いてあった記憶があるのは、
http://www.amazon.co.jp/exec/obidos/ASIN/4881359967/showshotcorne-22/
暗号の秘密とウソ [単行本]
Bruce Schneier (著), 山形 浩生 (編集), ブルース・シュナイアー (著)
くらいだ。
その点で、本書「体系的に学ぶ 安全なWebアプリケーションの作り方」は、
目配りがよく利いている。「体系的に学ぶ」は伊達ではない。
こういうすばらしい本が出た以上、今後はこれが防御の最低ラインになるだ
ろう。攻撃者はこの上を行く攻撃手法を開発するだろうから。
ところで、恥ずかしながら、ぼくは、レインボーテーブル、レインボークラ
ックを知らなかった。
ちょっと調べたら、Windows XPなどVista以前のWindowsの場合は、過去との
互換性のためにソルト(salt)を使わずに、ハッシュ値を計算するので、この攻
撃に弱いという。
とっくの昔にこの攻撃をやるツールが出回っている。簡単なパスワードしか
設定していないと、1分程度でパスワードが破れるそうだ。
さて、セキュリティで思い出したことがある。
学生の頃に読んだのか、社会人になってまもなく読んだのか。Unixを開発し
た功績で、C言語を開発したデニス・リッチーとともにチューリング賞を受賞
したケン・トンプソンのチューリング賞受賞記念講演。調べたら、「信用を信
用することができるだろうか」というタイトルだった。
これ、コンパイラを改造して、悪意のあるコードを生成する話。これをやら
れると、いくらソースコードをレビューしてもセキュリティホールは見つから
ない。
この記念講演は、共立出版から出ていたコンピュータサイエンス誌「bit」
の1984年12月号に載っている。図書館にでも行けばあるかもしれない。
1966年から1985年までの20年間の受賞記念講演22編を収録したものが、bit
創刊20周年記念出版で出ている。これにも収録されているはず。
http://www.amazon.co.jp/exec/obidos/ASIN/4320024877/showshotcorne-22/
ACMチューリング賞講演集 [単行本]
赤 摂也 (翻訳)
図書館にでもあれば読んでみてください。
もう1つは最近の話。セキュリティ関係の本は、ソフトウェアレベルでの解
説がほとんど。CPUは、正しく作られているという前提がある。しかし、チッ
プレベルでクラッキングするための回路を組み込むという話がある。
それが載っているのは、
http://www.amazon.co.jp/exec/obidos/ASIN/B0041TA7EU/showshotcorne-22/
日経サイエンス 2010年 11月号 [雑誌] [雑誌]
その記事の概要は、
http://www.nikkei-science.com/page/magazine/1011/201011_096.html
半導体チップに潜むハッカー
J. ビラセナー(カリフォルニア大学ロサンゼルス校)
にある。読むとすごいでしょ。そういう心配までしないといけない時代になっ
ているというのだ。
ちなみに、この号は、茂木健一郎の対談の最終回。
なんと、クマムシだった。\(^O^)/
ほんと、クマムシのこと、書こう。
関連:
http://iiyu.asablo.jp/blog/2011/03/23/5754564
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/24/5755461
Re: 徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。
---
徳丸様。献本ありがとうございます。
やっと感想を少し書きます。
http://www.amazon.co.jp/exec/obidos/ASIN/4797361190/showshotcorne-22/
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と
対策の実践 [大型本]
徳丸 浩 (著
ソフトバンク・クリエイティブにある紹介。
http://www.sbcr.jp/products/4797361193.html
体系的に学ぶ 安全なWebアプリケーションの作り方
まず、ざっくり500ページもあって重い。
中身は、いろんな攻撃手段と防御手段がみっちり書き込んであって、濃密。
攻撃と防御、セキュリティの一般論から始まって、パスワードクラッキング、
シェルインジェクション、SQLインジェクションなどの注入系攻撃、
JavaScriptのクロスサイトスクリプティング(XSS)、クロスサイト・リクエス
トフォージェリ(CSRF)、認証やアカウント管理の方法などなど、いっぱい攻撃
手口と防御手段が丁寧に解説してある。
これだけでも、こんなに集めてまとめたなと感心するが、さらにまだある。
普通のセキュリティ関係の本ではまず見かけない、文字コードにまつわるセ
キュリティや携帯電話にまつわるセキュリティのことまで解説してある。
サンプルコードも、実際に動かして試せるように、VMWare Playerまで入っ
たCD-ROMもついていて、至れり尽くせり。
しかし、ぼくが、この本で、一番、感心したのは、それらではない。
最後に開発マネジメント、開発プロセス自体を改善しないとセキュリティが
守られないことを章を割いて解説してある。
開発チームに一人でもセキュリティ意識の低い人間がいると、そこからやら
れしまう。
ソフトを開発する側だけではなく、発注する側、もっといえば単にソフトを
使う側でも、たとえば、経営者や経営陣がセキュリティ意識が低いと、簡単に
企業のデータを盗まれるし、業務が止まってしまう。ユーザであっても、一人
でもセキュリティ意識の低い人間がいると、そこからやられてしまうのだ。
「セキュリティはプロセス」ということを学生にもよく言うのだが、セキュ
リティは、ファイアウォールを入れたからもう大丈夫、なんとかソフトを入れ
たからもう大丈夫というものではない。組織・チームのマネジメント、プロセ
ス、構造、意識を日々改善していくことが重要。
世のセキュリティ技術の解説では、技術解説に終始して、マネジメントやプ
ロセスの重要性を強調していないものが大半だ。そのせいもあってか、マネジ
メントやプロセスの重要性がなかなか世間で認知されていないし、認識しても
実践されていないのが、現状だろう。
ぼくが読んだ本で、その重要性を書いてあった記憶があるのは、
http://www.amazon.co.jp/exec/obidos/ASIN/4881359967/showshotcorne-22/
暗号の秘密とウソ [単行本]
Bruce Schneier (著), 山形 浩生 (編集), ブルース・シュナイアー (著)
くらいだ。
その点で、本書「体系的に学ぶ 安全なWebアプリケーションの作り方」は、
目配りがよく利いている。「体系的に学ぶ」は伊達ではない。
こういうすばらしい本が出た以上、今後はこれが防御の最低ラインになるだ
ろう。攻撃者はこの上を行く攻撃手法を開発するだろうから。
ところで、恥ずかしながら、ぼくは、レインボーテーブル、レインボークラ
ックを知らなかった。
ちょっと調べたら、Windows XPなどVista以前のWindowsの場合は、過去との
互換性のためにソルト(salt)を使わずに、ハッシュ値を計算するので、この攻
撃に弱いという。
とっくの昔にこの攻撃をやるツールが出回っている。簡単なパスワードしか
設定していないと、1分程度でパスワードが破れるそうだ。
さて、セキュリティで思い出したことがある。
学生の頃に読んだのか、社会人になってまもなく読んだのか。Unixを開発し
た功績で、C言語を開発したデニス・リッチーとともにチューリング賞を受賞
したケン・トンプソンのチューリング賞受賞記念講演。調べたら、「信用を信
用することができるだろうか」というタイトルだった。
これ、コンパイラを改造して、悪意のあるコードを生成する話。これをやら
れると、いくらソースコードをレビューしてもセキュリティホールは見つから
ない。
この記念講演は、共立出版から出ていたコンピュータサイエンス誌「bit」
の1984年12月号に載っている。図書館にでも行けばあるかもしれない。
1966年から1985年までの20年間の受賞記念講演22編を収録したものが、bit
創刊20周年記念出版で出ている。これにも収録されているはず。
http://www.amazon.co.jp/exec/obidos/ASIN/4320024877/showshotcorne-22/
ACMチューリング賞講演集 [単行本]
赤 摂也 (翻訳)
図書館にでもあれば読んでみてください。
もう1つは最近の話。セキュリティ関係の本は、ソフトウェアレベルでの解
説がほとんど。CPUは、正しく作られているという前提がある。しかし、チッ
プレベルでクラッキングするための回路を組み込むという話がある。
それが載っているのは、
http://www.amazon.co.jp/exec/obidos/ASIN/B0041TA7EU/showshotcorne-22/
日経サイエンス 2010年 11月号 [雑誌] [雑誌]
その記事の概要は、
http://www.nikkei-science.com/page/magazine/1011/201011_096.html
半導体チップに潜むハッカー
J. ビラセナー(カリフォルニア大学ロサンゼルス校)
にある。読むとすごいでしょ。そういう心配までしないといけない時代になっ
ているというのだ。
ちなみに、この号は、茂木健一郎の対談の最終回。
なんと、クマムシだった。\(^O^)/
ほんと、クマムシのこと、書こう。
関連:
http://iiyu.asablo.jp/blog/2011/03/23/5754564
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/24/5755461
Re: 徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。
コメント
トラックバック
_ ホットコーナーの舞台裏 - 2011年04月05日 03時23分21秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア
_ ホットコーナーの舞台裏 - 2011年04月12日 10時19分57秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア
_ ホットコーナーの舞台裏 - 2011年06月30日 01時09分19秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
知ってる人は、みんな使っている高性能ウェブサーバ
「nginx(エンジ
---
知ってる人は、みんな使っている高性能ウェブサーバ
「nginx(エンジ
_ ホットコーナーの舞台裏 - 2011年08月15日 23時46分54秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
お買い上げありがとうございます。
http://www.amazon.co.jp/exec/obidos/ASIN/4
---
お買い上げありがとうございます。
http://www.amazon.co.jp/exec/obidos/ASIN/4
_ ホットコーナーの舞台裏 - 2011年08月15日 23時47分26秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
偽物の電子部品が出回っていて、場合によっては、命に関わる非常
---
偽物の電子部品が出回っていて、場合によっては、命に関わる非常
_ ホットコーナーの舞台裏 - 2011年12月06日 06時31分55秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
Twitterでは流したけど、
http://www.gizmodo.jp/2011/12/your-android-phone-is-secretl
---
Twitterでは流したけど、
http://www.gizmodo.jp/2011/12/your-android-phone-is-secretl
_ ホットコーナーの舞台裏 - 2011年12月06日 06時32分31秒
ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
もう2週間以上、経っているのか。
府中出身のタレント、NHKサイ
---
もう2週間以上、経っているのか。
府中出身のタレント、NHKサイ
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※なお、送られたコメントはブログの管理者が確認するまで公開されません。
※投稿には管理者が設定した質問に答える必要があります。