2007-07-05 (Thu) [長年日記]
_ Webアプリケーションセキュリティフォーラム
というわけで、発表して来た。
自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。
追記:
リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため)
- 高木先生
- Greasemonkeyの説明の部分がよく聞こえなかったんですが。
- 奥さん
- (内容を説明)
- 高木先生
- ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。
- 私の心の声
- (最初から聞こえてたんじゃ…)
- 奥さん
- ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。
- 高木先生
- いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩したら非常に危険ですよね。同じことをトロイの木馬などで実現するのは相当コストがかかると思うんですが、Greasemonkeyスクリプトでは簡単に実現してしまうわけで、非常に危険だと思います。
- 奥さん
- スクリプトを有効にするドメインを指定できますので、ある程度対策は可能です。
- 高木先生
- 私はGreasemonkeyスクリプトのようなものは、スクリプトの内容が読める人が使うものだと思っています。
他にも、JSONPの脆弱性の対策手法は汚いと思うがそもそもJSONPみたいなもが必要なんですか?とか、全ユーザのトラッキングじゃなくて視聴率調査みたいに了解を取った上で何%かのユーザを対象に調査すればいいんじゃないですか?とか、IPアドレスによるトラッキングなんて本当にできるんですかとか?とか面白い応酬が続いていた。
おおざっぱに議論をまとめると、セキュリティと利便性のトレードオフの話ということになるのかな?
さらに追記:
すみません、やっぱり記憶違いがあったようです。 高木先生からのツッコミを引用します。
銀行サイトの件は「cookieが漏洩したら」ではなく、cookie漏洩なしにGreasemonkeyスクリプトならその場でアレコレできちゃって激ヤバ (以下「同じことをトロイで実現するのは面倒だが…」に続く) という話をしたのでした。
[HiromitsuTakagiのブックマークより引用]
[ツッコミを入れる]