IE に依存した Web アプリケーションセキュリティ (はせがわ ようすけ さん)

• • プレゼンツールは id:amachang の作ったツールを改造した
  • XSS についてのおさらい
    • 対策は HTML 生成時に正しくエスケープするのが基本
    • エスケープしても脆弱な事がある
  • IE の固有の問題点
    • UTF-7 による脆弱性
    • ASCII 文字だけで Unicode を表現できる
    • charset が不明瞭なサイトに文字コードを UTF-7 と認識されるとほとんど攻撃が成功
    • IE が自動的に UTF-７と勝手に判断してくれる
    • 日本語が入っている場合、自動では判断されない
    • でも攻撃者が UTF-7 の iframe を経由すると UTF-7 と判断される
    • ブラウザが解釈できない charset を設定していると、無指定と判断される
  • ありがちな間違い
    • sjis / jis / utf8もだめ
    • 正しい charset 名を指定しましょう
  • タイトルタグに偽のメタタグを挿入し、本来の charset 名を無効にする
    • charset を明記(できれば HTTP レスポンスヘッダに)正しい charset を指定
  • US-ASCII による XSS
    • IE は US-ASCII の最上位ビットを無視する
    • 対策 US-ASCII を避ける
  • IE はスタイルシート内に XSS を記述できる
    • 外部の CSS でも OK
    • 対策はユーザから CSS の入力を避ける、安全な要素だけでスタイルシートを組み立てる
  • Content-Type 無視
    • IE はHTML みたいなものは HTML と認識
    • Content-Type: text/plainでもスクリプトタグがあると、HTML として認識される
    • 攻撃対象になりやすいもの
      • application/atom+xml, rss+xml, rdf+xmlとか
      • text/javascript, text/plain, image/bmp とか
      • URL からファイルタイプを判定する
    • 対策として安全な Content-Type のみ出力
  • まとめ
    • IE は友達。怖くない
    • IE8 にすれば解決？
    • UTF-7,US-ASCII の修正
    • CSS の expression は互換モードのみサポート

質疑応答で、UTF-7 はドロップする案はどうか？という質問が出ていたが、 文字コードは OS に組み込まれているのを使用するらしいから、ドロップは難しいとのこと。
また、 WAF で上記の攻撃を防ぐ事はできるのか？という質問には、 WAF は上記の攻撃の防ぐには意味をなさないとの事。

とても分かりやすいプレゼンだった。特に冒頭はすごく笑えたｗ

追記 (2008/09/29 22:36)
一部勘違いがありました。
「WAF は上記の攻撃の防ぐには意味をなさないとの事。」ではなく、「たいていのWAFは無理なんじゃないかと思う。知人がメンテナンスしてるWAFはOKかも」との事です。

id:Kanatoko さん、id:ockeghem さんご指摘ありがとうございました。
id:hasegawayosuke さん、フォローありがとうございました <(_ _)>

WebKit の可能性(及川 卓也 さん)

• • Web 標準
    • 同一サイトでも 1996 年と 2008 年とでは変わっている
    • HTML3.0 は静的、 XHTML は動的コンテンツとスタイルの分離
    • 複数のブラウザが出てきている
    • マルチブラウザ対応が必要
  • WebKit
    • OSS のウェブブラウザエンジン
  • HTML レンダリングエンジン
    • マークアップ言語でかかれたソースをフォーマットして、ディスプレイするモジュール
    • HTML パーサー、レンダリング
    • Trident, WebKit, Gecko とか
  • WebKit を利用したアプリケーション
    • Apple Safari, iPhone, NokiaS60, Lunascape5, Google Chrome/Chromium, Android
  • WebCore:HTMLレンダリング、 JavaScriptCore:JavaScriptエンジン
  • グラフィックライブラリ
  • JavaScriptCore SquirrelFish Extreme
    • JavaScript のベンチマークは Sunspider を使用することが多い
    • SquirrelFish Exreame は Sunspider で最速
  • WebKit のよい所
    • パフォーマンス?
    • 及川さんのスクリプト(いくつかのサイトをレンダリングするテスト)でパフォーマンス測定
    • Safari4(Developer Preview 版) と IE7 では劇的に異なる
    • 80Sec と 190Sec くらいの差
    • Acid3 のテストでは WebKit がスコアが100 (Firefox3 は 70くらい？)
    • Canvas とか SVG とか使える
    • オープンソース
    • マルチプラットフォーム
    • 複数インスタンス(バージョン)簡単に共存
    • IE は OS に依存しているから難しい(その代りVirtual PCで配ったりしている)
  • Web 標準の側面から考えるプラグインと Ajax
    • Flash, Silverlight, Acrobat Vs Ajax
    • 日本では Flash の方が多い(デザインする人と分離できやるいため？)
    • プラグインは Web サイト側からコントロールできない
    • セキュリティホールとか
    • SEO 的にはプラグインでは難しい
    • パーマリンクがないから、このサイトのこの場所を見てというのは、JavaScript では OK だが、Flash では難しい
    • メリット・デメリットを考えてプラグインを考える
  • ライセンス
    • WebCore, JavaScriptCore は LGPL2.1
    • WebKit 自体は BSD ライセンス
  • アプリケーションからの利用
    • WebKit を直接組み込む (VS 2008 ではビルドできなかったそう)
    • Adobe Air を使う(Ver1.1で日本語はおk)
    • Qt を使う
      • 非商用(GPL), 商用版(有償)
  • WebKitの開発ツール
    • Web Inspect
    • HTML Validatior
  • まとめ
    • WebKit で遊んでみよう
    • ウェブ標準を支持しよう
    • ブラウザが増えて選択肢が増えても開発者が苦労が増えないようにするために、声をあげましょう

個人的には Mac では Safari 使いなので、Safari4 には凄く期待している。

IE8 について (五寶 匡郎 さん)

• • IE8 はユーザと開発者と異なるニーズに答えたい
  • キーワードは相互互換性
  • 開発者に支持されないブラウザは使われない？
  • 互換性？(IE6, IE7)
  • 機能概要まとめ
    • 今までの IE の中で一番 Web 標準に準拠
    • HTML, CSS, DOM, JScript,その他
  • 下位互換表示機能を搭載
  • 新機能の実装、改良
  • アクセラレータ
    • 速度的な物ではない。
    • 便利なショートカット？(選択した住所をコンテキストメニューで地図サイトでプレビューしたり)
    • WebSlice ウェブページの一部のフィードとして購読できる
  • 互換性について
    • 複数のモードを持つ
    • 互換表示ボタン
      • 特別な操作をすると互換表示が表示される
      • サイトオーナーがメタタグなどが明示的に IE8 だと表示されない
      • 互換モードはあくまで表示のみの互換
  • 新機能について
    • デモ
  • IEAK8
    • IE のカスタマイズしてリリースするやつ
    • Yahoo!のIE 設定とか
    • グループポリシーを設定した IE を作る事ができる
    • レジストリをいじっても出来るけど、グループポリシーで変更した方が良い
    • あとインストール・アンインストールは少々手間が掛かるかも
  • フィードバック
    • フィードバックしてね

IE7 と IE8 ではぱっとの見た目が変わらないので、直ぐ判断する方法は？という質問に対して、アドレスバーの色づけで分かるとの事。
また、ツールバーに IE7 には無い物があるので、それで判断するとからしい。
ただ、UI は変わる可能性もあるかもしれないとの事。

Mozilla からみて IE8 に期待すること (himorin さん)

• • ソフトウェアアップデートのお話
  • Add-On やプラグインの自動アップデートは？
    • Firefox は一応自動更新する
    • プラグインはアップデートしない
  • プラグインアップグレードのお話
    • 将来的にどうすべき？
      • ベンダに圧力をかける
      • アップグレードするように草の根活動
      • 古いプラグインをブラウザがブロックする
      • Firefox3.1 までに更新機能をアップグレード？
  • プラグインベンダとの協力が必要
  • NSIS 関わらず他のブラウザとの協調
  • IT adminとしてどういう方式が望ましい？

最後は半ばディスカッションみたいな形でどうすれば良いのかという議論で面白かった。
アプリケーションの中のプラグインの更新とかの話だったけど、アプリ自体の更新の管理ができないかという話になってた。
例えば、 Mac では AppFresh というツールがあって、登録すると自動的にアプリの更新状況を見てくれるツールがあるんだけど、 Windows には無いんだろうか。
旧・Macの手書き説明書 - FC2 BLOG パスワード認証
Windows だと コントロールパネルの追加と削除でアプリケーションの更新状況を取得できれば便利だと思う。

今回はブラウザがテーマだったので、興味深かった。
そういえば、WindowsMobile での IE は IE 限定の仕様なんだろうかという話が周りで起きてた。
手元に WindowsMobile を持ってないので、分からないけどどうなんだろう。
ともかく非常に有意義な勉強会だった。

スタッフの皆さん、発表者の皆さん、参加者のみなさんお疲れ様でした！