7月5日に東銀座の時事通信ホールで開催されたWASForum Conference 2008の2日目,Developers Dayに参加してきた.Developerじゃないのに,空気を読まずに参加してきた.WASはWeb Application Securityの略であり,申込がhttpでhttpsでもオレオレ証明書でもなかった辺りが,壮絶な罠というか,釣りというか,丸腰だったのだろう.
・EV SSLの意義と課題
IE7とFirefox3とOpera9.5的にEV SSLが使えるようになって,アドレスバーが緑になるよ!って流行ってるけど,裏側では色々あるんだよ,っていう話.興味深い.
SSLの問題点として,「鍵マークがあるから安心」というところがあり,暗号化されているから安全だという勘違いが根強くあるらしい.ありそうだもんなぁ.通信路が暗号化されるだけであり,そこをついて,フィッシングされちゃうよという現実がある.
EV SSLの課題もいくつか挙げられていて,その中で特に気になったのが,モバイル対応.日本のインターネットはモバイル端末からのアクセスが多いという特殊な状況下であるので,それをどげんかせんといかん.古い携帯端末だと,RSA2048bitが使えないらしい.暗号アルゴリズム世代交代の移行期限が2010年とか2013年だから,しっかりやらないとガラパゴス化しちゃうのかなぁって思ってみました.日本の携帯事情って,やっぱり特殊.というか,携帯に限らず,組み込み機器はちゃんとなんとかしないとね.
・SQLインジェクション対策再考
徳丸さんの日記を整理した感じ.冒頭にも述べたが,Developerでもないのに参加しているため,話について行けないことが度々.話として聞く分には問題ないんだけど,笑うポイントがわからない・・・.SQLインジェクション対策で「走るコードか試したのか?」のような文言があったと思うが,そこが笑いどころだったと思うんだけど,誰も笑わなかったのは高度な罠だったのだろうか.スライド上に示されるいくつものコードが走らないものだったはずなんだが・・・.オレ,釣られてる?なお,ライオンエスケープはこちら.
・携帯電話向けWebのセキュリティ
LT的なノリ.技術屋さんのプレゼンって,なんでああいう感じが多いんだろう.畳みかけるって重要なのかな.わかったことは,自転車はGIANTで,携帯ユーザのパスワードが大変なことになっていることくらい.パスワード?はぁ?なにそれ?おいしいの?(スイーツ笑)状態らしい.恐ろしい・・・.でも,すごい人はすごいらしく,8桁程度のチェックデジットは総当たりしてくるらしい.しかも,当たり前のようにw.恐ろしい・・・.その労力を勉強には向けられないのだろうか・・・.
・OpenIDのセキュリティ
ZIGOROuさんのブログをまとめた感じ.資料が公開されています.ありがとうございます.特に真新しい情報はなかったかなと.残念.ブラックリストが愚作というのは全くの同意.ブラックリストの方針だと,新しいドメインをじゃんじゃん取ってくる攻撃者に全く持って無力.ログアウトの話はそんなに重要なんだろうか.そうなってくると,SSO的なシイングルサインオンとシングルログアウトになりそうな・・・.それ,OpenSSO.
それとこうしたイベントで毎回プロトコルの説明をせざるを得ないのも問題だと思いました。
WASForum Conference 2008 での OpenID のセキュリティについてのスライドを公開します - Yet Another Hackadelic
と述べられていますが,果たしてあの説明が必要だったのでしょうか.個人的には3者モデルを出して,これとこれがこうでこうですよと図解すれば,それで十分だったんじゃないかと思います.細かい用語を正確に教えてあげる必要はなくて,どうせ興味を持った人は後で調べるんだろうから,広く万人が理解できるような図解が良いんではないかと思いました.まる.
