スポンサーリンク

このドキュメントの内容は、以下の通りです。

2010/5/22土曜日に、コクヨホール(品川駅港南口側徒歩5分)で
行われた WASForum Conference 2010 に行ってきました。
行ってすぐにこのメモだけ書き起こしたのに、
そのまま放置していました。
完全にただのメモなので、何もまとめてませんのであしからず。

認証やセキュリティがテーマの会でした。

開催概要


日時: 2010年5月22日土曜日 10時?18時
場所:コクヨホール (アクセス)(品川港南口)
参加費用:一般事前登録 8000円(税込、要事前振込)当日入場 10000円(税込、当日受付)学生無料(要事前登録、数に限り有)
参加方法:事前登録・当日来場
企画/実行: WASForum Conference 2010 Board Member
主催: Web Application Security Forum
後援: 総務省 経済産業省 Mozilla Japan 財団法人インターネット協会
協賛
マイクロソフト株式会社
京セラコミュニケーションシステム株式会社
テクマトリックス株式会社
株式会社データコントロール
三井物産セキュアディレクション株式会社
株式会社ソフテック
株式会社テックスタイル
特別協力
ヤフー株式会社
日本アイ・ビー・エム株式会社

メモ


WASForum
http://wasforum.jp/

10:00 〜10:20 オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」
奈良先端科学技術大学院大学 門林雄基


ブラウザセキュリティ
サーバサイドセキュリティ

遊びと仕事でブラウザを分ける。
混ぜるな危険

アクティブコンテンツ
NoScriptで防御する。
知らないサイトにアクセスするときは、JSはオフにする。
w3mがいい。

パスワードは危険。
パスワードの使い回しをしている。
2要素認証やクライアント証明書をなぜ使わない?

JSON hijacking
DOM Injection
BotNet
Clickjacking


10:20〜11:10 国民のためのウェブサイトを運営するID認証の舞台裏
ヤフー株式会社 松岡泰三

2396万人のアクティブユーザ 1ヶ月いないにログインした人
1900万人のウォレット登録ユーザ
759万人のプラミアム会員

1日あたりのログインの統計
775万回のログイン試行
698万回のログイン成功(90%)

Y内部と外部の比率
93.84:6.2
外部は、openid/oauth, BBAuthなどがある。
OpenID/OAuthの比率はまだ2%ぐらいと低い。

ログイン3兄弟 の紹介

11:10〜12:00 OpenIDのモバイル対応 〜 認証基盤連携フォーラムの取組み他から
株式会社野村総合研究所 崎村 夏彦


Digital Identity
Identity Attribute

Attribute とは?
形質
属性
関係性
がある。
変わるもの、変わらないもの、少しずつかわっていくものがある。

属性には、
メールアドレス
住民票番号
ユーザ名
とかがあって、
メールアドレス
住民票番号
ユーザ名
といった情報は、identifier に当たる。

OPenID + モバイル
Getで渡す情報が多く、携帯のブラウザでは、エラーを起こす。
POSTで渡せば、問題ないけど、JavaScriptに対応しているブラウザが必要かも。
OpenIDは、属性情報連携をすると、利便性が上がる。
ここでいう利便性は、登録にかかる時間がかなり減らすことができる。
OpenID for Mobile
Artifact
ガラケーでも使えるデータ量になっている。
データは、サーバ間でやりとりして、クライアントに渡して、相手のサーバに渡す量を減らしている。
コーディングも簡単になっている。

http://openid4.us/

Magic Signature (アサーション base64) json 形式
Googleの人が提案している方法
メリット
ブラウザのGetが少ない
サーバ間でデータをやりとりする。
Assertion Disclosure 防止(ブラウザで抜かれないように)
OPを完全にステートレスにする(Googleからの強い要望)
OP 300行、RP 100行(HTMLこみ)で実装できる。

属性表現
TypeURI
tukaiwakega hituyou .

AX Scheme
Portable Contacts
アメリカとかには、フリガナ(スクリプト)の概念がない。
スクリプト表現案
TypeURL#言語_スクリプト_国

JSでiframeバッシング
UAはいくらでも偽装できる。

UAでブラウザがサポートしている機能(JS, iFrame)を判別できるので、そのブラウザに応じたページを返すことができる。

休憩

13:00 - 13:45 ケータイ2.0が開けてしまったパンドラの箱
HASHコンサルティング 徳丸 浩

DNSバインディング
携帯はGW経由
IEはIPを少しキャッシュしている。
最低1時間ぐらい、IPをキャッシュしたほうがよいかもしれない。
簡単ログインの場合には、Hostフィールドをみればよい。
SBMは、結構前からJSが使える。
XML HTTP Request も使えるようになっている。
setRequestHeader
SBMはHostHeaderが書き換えられる。

13:45 〜14:30 どうするケータイ認証
独立行政法人産業技術総合研究所 高木浩光


公式サイトは、NDAで縛られている。
情報が公になっていない。
勝手に何をやっているのか、解らないので、何も言いようがない。

携帯ID + JS + DNS rebinding
サイボウズoffice簡単ログイン
OpenPNE 簡単ログイン
はてな IPアドレスの制限をやっていなかった。

モバイルのproxyは、他社の携帯IDを削除しなくていい?
SBM HTTPSで閲覧できない。

14:30 - 15:15 OAuthとWEBサイト運営のエコシステムに潜む罠
株式会社トライコーダ上野 宣

認証(AuthN)と認可(AuthZ)
ここでいう認証は、ID/PWを使って行われるもの。

BASIC認証
ログアウト機能が無い。ブラウザのエクステンションを使えばできるけど。ブラウザを終了するまで、認証済みの状態が続く。

認可/AuthZ
認証/AuthN は預かりたくない。

AuthZ が欲しいので、OAuthがある。
xAuthは、デスクトップアプリケーションのためのOAuth
クレデンシャルからアクセストークンを取得できる。
いろいろ通信が省略された。

OAuth 1.0の初期は、セッション固定攻撃の脆弱性があった。

休憩

15:30 - 16:15 “Web2.0”におけるセキュリティ ? セキュアなWeb2.0環境の構築とは
日本アイ・ビー・エム(株)東京基礎研究所 吉濱佐知子

WhitHat
73%のサイトにXSS脆弱性があると言われている。
OWASP Top 10
セキュリティ脆弱性のトップ10を発表している。
3年おきに発表している。

img src=jav
ascr
ipt:alert('abc')

NULL文字、開業が入っていてもブラウザががんばって、読んでくれる。

img src %xyのコンコードでも実行される。

<meta refresh
data:texthtml:base64,エンコードされたjs
とかも実行される。

7bit Ascii
UTF7
CSS bacground-image:url(javascript:jsコード)
CSSのパーサが理解する。
\0075\00f...
16進?エンコードされていても、実行される。

expr/* */ession(alert(aaa))
コメントは、消して実行される。
e x p r e s s i o n
空白スペースが入っていても実行される。

absolute でサイトのロゴの上に画像とリンクを張る。
ロゴをクリックして、トップページなどに戻ろうとしたユーザをほかサイトに誘導(悪意のあるページへ)することができる。

Cross Site Flashing
getURL(URL);

embed src='test.swf?url=http://eval.com'

Jar Protocol handler
jar:https://a.com/a.jar!/b.html
zip, ODF

GIFAR
GIF + JAR ファイル(ファイルを連結しておく)
画像として表示される。
jar://でもアクセスできる。

Firefox
Content Security Policy
インラインスクリプトを禁止にする。
スクリプトイメージを使わせない。

OpenAjaxHub.

16:15 - 17:00 SDL脅威分析の方法とWindows Live IDにおけるアプローチ(英語スピーカー:通訳付き)

マイクロソフト株式会社 オンラインサービス・コンプライアンス部 シニアセキュリティプログラムマネージャ Jiong Lu
17:00 - クロージングディスカッション? 脆弱性対策至上主義からの脱却

三井物産セキュアディレクション 国分 裕
テクマトリックス株式会社 酒井喜彦
株式会社テックスタイル 岡田良太郎 ほか

スポンサーリンク
スポンサーリンク
 
いつもシェア、ありがとうございます!


もっと情報を探しませんか?

関連記事

最近の記事

人気のページ

スポンサーリンク
 

過去ログ

2020 : 01 02 03 04 05 06 07 08 09 10 11 12
2019 : 01 02 03 04 05 06 07 08 09 10 11 12
2018 : 01 02 03 04 05 06 07 08 09 10 11 12
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12

サイト

Vim入門

C言語入門

C++入門

JavaScript/Node.js入門

Python入門

FreeBSD入門

Ubuntu入門

セキュリティ入門

パソコン自作入門

ブログ

トップ


プライバシーポリシー