WASForum Conference 2010のメモ

このドキュメントの内容は、以下の通りです。

• 開催概要
• メモ

2010/5/22土曜日に、コクヨホール（品川駅港南口側徒歩5分）で
行われた WASForum Conference 2010 に行ってきました。
行ってすぐにこのメモだけ書き起こしたのに、
そのまま放置していました。
完全にただのメモなので、何もまとめてませんのであしからず。

認証やセキュリティがテーマの会でした。

開催概要

日時： 2010年5月22日土曜日 10時?18時
場所：コクヨホール (アクセス)（品川港南口）
参加費用：一般事前登録 8000円（税込、要事前振込）当日入場 10000円（税込、当日受付）学生無料（要事前登録、数に限り有）
参加方法：事前登録・当日来場
企画/実行： WASForum Conference 2010 Board Member
主催： Web Application Security Forum
後援： 総務省　経済産業省　Mozilla Japan　財団法人インターネット協会
協賛
マイクロソフト株式会社
京セラコミュニケーションシステム株式会社
テクマトリックス株式会社
株式会社データコントロール
三井物産セキュアディレクション株式会社
株式会社ソフテック
株式会社テックスタイル
特別協力
ヤフー株式会社
日本アイ・ビー・エム株式会社

メモ

WASForum
http://wasforum.jp/

10:00 〜10:20 オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する３つの危険」
奈良先端科学技術大学院大学　門林雄基


ブラウザセキュリティ
サーバサイドセキュリティ

遊びと仕事でブラウザを分ける。
混ぜるな危険

アクティブコンテンツ
NoScriptで防御する。
知らないサイトにアクセスするときは、JSはオフにする。
w3mがいい。

パスワードは危険。
パスワードの使い回しをしている。
２要素認証やクライアント証明書をなぜ使わない？

JSON hijacking
DOM Injection
BotNet
Clickjacking


10:20〜11:10 国民のためのウェブサイトを運営するID認証の舞台裏
ヤフー株式会社 松岡泰三

2396万人のアクティブユーザ １ヶ月いないにログインした人
1900万人のウォレット登録ユーザ
759万人のプラミアム会員

１日あたりのログインの統計
775万回のログイン試行
698万回のログイン成功(90%)

Y内部と外部の比率
93.84:6.2
外部は、openid/oauth, BBAuthなどがある。
OpenID/OAuthの比率はまだ2%ぐらいと低い。

ログイン３兄弟 の紹介

11:10〜12:00 OpenIDのモバイル対応 〜 認証基盤連携フォーラムの取組み他から
株式会社野村総合研究所 崎村 夏彦


Digital Identity
Identity Attribute

Attribute とは？
形質
属性
関係性
がある。
変わるもの、変わらないもの、少しずつかわっていくものがある。

属性には、
メールアドレス
住民票番号
ユーザ名
とかがあって、
メールアドレス
住民票番号
ユーザ名
といった情報は、identifier に当たる。

OPenID + モバイル
Getで渡す情報が多く、携帯のブラウザでは、エラーを起こす。
POSTで渡せば、問題ないけど、JavaScriptに対応しているブラウザが必要かも。
OpenIDは、属性情報連携をすると、利便性が上がる。
ここでいう利便性は、登録にかかる時間がかなり減らすことができる。
OpenID for Mobile
Artifact
ガラケーでも使えるデータ量になっている。
データは、サーバ間でやりとりして、クライアントに渡して、相手のサーバに渡す量を減らしている。
コーディングも簡単になっている。

http://openid4.us/

Magic Signature (アサーション base64) json 形式
Googleの人が提案している方法
メリット
ブラウザのＧｅｔが少ない
サーバ間でデータをやりとりする。
Assertion Disclosure 防止（ブラウザで抜かれないように）
OPを完全にステートレスにする（Ｇｏｏｇｌｅからの強い要望）
OP 300行、RP 100行（ＨＴＭＬこみ）で実装できる。

属性表現
TypeURI
tukaiwakega hituyou .

AX Scheme
Portable Contacts
アメリカとかには、フリガナ（スクリプト）の概念がない。
スクリプト表現案
TypeURL#言語_スクリプト_国

JSでiframeバッシング
UAはいくらでも偽装できる。

UAでブラウザがサポートしている機能(JS, iFrame)を判別できるので、そのブラウザに応じたページを返すことができる。

休憩

13:00 - 13:45 ケータイ2.0が開けてしまったパンドラの箱
HASHコンサルティング 徳丸 浩

DNSバインディング
携帯はＧＷ経由
ＩＥはＩＰを少しキャッシュしている。
最低１時間ぐらい、ＩＰをキャッシュしたほうがよいかもしれない。
簡単ログインの場合には、Ｈｏｓｔフィールドをみればよい。
SBMは、結構前からＪＳが使える。
XML HTTP Request も使えるようになっている。
setRequestHeader
SBMはHostHeaderが書き換えられる。

13:45 〜14:30 どうするケータイ認証
独立行政法人産業技術総合研究所　高木浩光


公式サイトは、ＮＤＡで縛られている。
情報が公になっていない。
勝手に何をやっているのか、解らないので、何も言いようがない。

携帯ID + JS + DNS rebinding
サイボウズoffice簡単ログイン
OpenPNE 簡単ログイン
はてな　IPアドレスの制限をやっていなかった。

モバイルのproxyは、他社の携帯ＩＤを削除しなくていい？
ＳＢＭ HTTPSで閲覧できない。

14:30 - 15:15 OAuthとWEBサイト運営のエコシステムに潜む罠
株式会社トライコーダ上野 宣

認証(AuthN)と認可(AuthZ)
ここでいう認証は、ID/PWを使って行われるもの。

BASIC認証
ログアウト機能が無い。ブラウザのエクステンションを使えばできるけど。ブラウザを終了するまで、認証済みの状態が続く。

認可/AuthZ
認証/AuthN は預かりたくない。

AuthZ が欲しいので、OAuthがある。
xAuthは、デスクトップアプリケーションのためのOAuth
クレデンシャルからアクセストークンを取得できる。
いろいろ通信が省略された。

OAuth 1.0の初期は、セッション固定攻撃の脆弱性があった。

休憩

15:30 - 16:15 “Web2.0”におけるセキュリティ ? セキュアなWeb2.0環境の構築とは
日本アイ・ビー・エム（株）東京基礎研究所 吉濱佐知子

WhitHat
73%のサイトにXSS脆弱性があると言われている。
OWASP Top 10
セキュリティ脆弱性のトップ１０を発表している。
３年おきに発表している。

img src=jav
ascr
ipt:alert('abc')

NULL文字、開業が入っていてもブラウザががんばって、読んでくれる。

img src %xyのコンコードでも実行される。

<meta refresh
data:texthtml:base64,エンコードされたjs

とかも実行される。

7bit Ascii
UTF7
CSS bacground-image:url(javascript:jsコード)
CSSのパーサが理解する。
\0075\00f...
16進？エンコードされていても、実行される。

expr/* */ession(alert(aaa))

コメントは、消して実行される。

e x p r e s s i o n

空白スペースが入っていても実行される。

absolute でサイトのロゴの上に画像とリンクを張る。
ロゴをクリックして、トップページなどに戻ろうとしたユーザをほかサイトに誘導(悪意のあるページへ)することができる。

Cross Site Flashing
getURL(URL);

embed src='test.swf?url=http://eval.com'

Jar Protocol handler
jar:https://a.com/a.jar!/b.html
zip, ODF

GIFAR
GIF + JAR ファイル（ファイルを連結しておく）
画像として表示される。
jar://でもアクセスできる。

Firefox
Content Security Policy
インラインスクリプトを禁止にする。
スクリプトイメージを使わせない。

OpenAjaxHub.

16:15 - 17:00 SDL脅威分析の方法とWindows Live IDにおけるアプローチ（英語スピーカー：通訳付き）

マイクロソフト株式会社 オンラインサービス・コンプライアンス部　シニアセキュリティプログラムマネージャ Jiong Lu
17:00 - クロージングディスカッション? 脆弱性対策至上主義からの脱却

三井物産セキュアディレクション 国分 裕
テクマトリックス株式会社 酒井喜彦
株式会社テックスタイル 岡田良太郎 ほか

---