雑文発散

▼ [雑] Web Application Security フォーラム　第5回コンファレンス

行ってきた。

13:00から開催だとばかり思って、12:45頃に急いで行ってみたら、13:00は受付開始時間だったという。。。微妙に途方に暮れていたら、早めに入場させて頂けた。おかげで読まなきゃならないドキュメントを読みふけることができたので、まぁ、良かったというかなんと言うか。。。

セッション1と2では、内部統制とかJ-SOXとか、オレ的に知らなきゃいけないけど、本気出して勉強していない領域の話だったので、いろいろと参考になった。しかし、まー、必要なことなんだろうとは思うけど、正直言って面倒なことが増えるよなぁ。世の中、性善説で動いて欲しいものだ。

セッション3のログ話は「Webアプリケーションでのログ取得の定石って？」という内容。インシデントが発生した場合、その調査をするためにはApacheのログだけで良いわけないよね？というところから始まって、ファイアウォールのログだとか、Webアプリケーション独自のログだとか、取れるものはできるだけ取っておくべき、という話。ただ、何も考えずに「全部入り」なログを取ると、それが膨大になってしまって、結局解析不可能になって意味が無いので、バランス良く取るべきだというのが今回の結論。

この場合、結局はアプリケーションによって必要なログが変わってくる事と同義に思えるので、定石化というのは、なかなか難しいのではないかなぁ。しかし、問題提起という面では、このセッションは有意義だった。

セッション4の「Webアプリケーションジェネレータのセキュリティ」は、Java / PHP / Ruby のジェネレータを利用して簡単なアプリケーションを作成、そのアプリケーションを脆弱性テストツールで検査して、各ジェネレータが吐き出すコードがどの程度セキュリティを考慮しているかを比較した結果を報告していた。

Javaのジェネレータは多種多様、Rubyは定番RoR、PHPは PHP GEN ともうひとつ（マイナー過ぎて名前忘れた）をテストしていたんだけど、PHP のこの選択は定番でもなければ、最新でも無いので実用的な結果報告とは言えないんじゃなかろうか。Ruby が RoR で出るなら、CakePHP とか symfony を比較対象として出して欲しかった。

セッション5は、前田さんによる「Ruby on Railsのセキュリティ」。RoR は一度挫折して離れていたものの、思想を真似てる CakePHP に触れていたので、比較しながら聴いていたらかなり分かりやすかった。「穴」とまでは言えないのかも知れないけど、あの辺の知識を持たないまま RoR アプリを公開するのは危険かもなぁ。便利なフレームワークと言えども、基本的なセキュリティ知識は必要な訳で。

セッション6は、奥さんによる「JSONPとブラウザエクステンションのセキュリティ」。なんか、ここまで来ると「Webアプリケーション」の範疇を超えだしている気もするんだけど、「ブラウザを使う」限り考えなければいけないと言う事か。「Webエンジニア」と呼ばれる職業の人が考慮しなければいけない範囲がまた増えたという気がした。

最初から最後までいたのだけれど、約7時間の長丁場は正直ちょっと疲れたし、お腹が空いた（笑） 18:00からの第二部は、なんか食べながらだったら良かったのになー。

ま、それはともかく、有意義な一日だった。前田さんや奥さんと名刺交換させて貰ったし（笑）