PHPカンファレンス北海道で講演します
PHPカンファレンス北海道で講演する機会を頂きましたので報告します。
日時:2012年4月21日(土曜日) 10時20分〜17時20分(徳丸の出番は15:30〜16:10)
場所:札幌市産業振興センターセミナールームA (北海道札幌市)
費用:無料(申し込みはこちら)
講演タイトル:徳丸本に載っていないWebアプリケーションセキュリティ
講演の概要は以下となります。技術よりの話題で、デモあり(たくさん仕込みたいですね)、初級〜中級です。
- キャッシュからの情報漏洩に注意
- クリックジャッキング入門
- Ajaxセキュリティ入門
- ドリランド カード増殖祭りはこうしておこった…かも?
キャッシュからの情報漏洩は徳丸本に載せても良かったなと思うテーマです。PROXYやフレームワークのキャッシュが悪さをして情報漏洩するリスクについて説明します。
クリックジャッキングは、PHP Conference 2011でも説明しましたが、もう少し詳しく説明できればと思います。クリックジャッキングはついこの間まで「知る人ぞ知る」というレベル感だったのに、いつの間にか「対策必須」という感じになってきましたね。
Ajaxのセキュリティは徳丸本に載せられなかったテーマとしては最大のものと考えています。以下のブログエントリにて説明した内容を詳しく説明します。
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)〜evalインジェクション〜 - ockeghem(徳丸浩)の日記
- PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)〜JSON等の想定外読み出しによる攻撃〜 - ockeghem(徳丸浩)の日記
ドリランドの件は運営側から詳細原因が公表されていないため、あくまで推測、ないし妄想レベルの話になってしまいますが、ドリランド カード増殖祭り | 水無月ばけらのえび日記に排他制御の問題かもしれないと説明されているように、排他制御の問題だったと仮定して原因と対策を説明します。私自身はドリランドの問題について詳しく知っているわけではありませんので、今後類似の問題を発生させないことを目的としてドリランドの事故を題材として使わせていただくということですね。
それでは、札幌でお会いしましょう。
[PR]
安全なWebアプリケーションの作り方DRMフリーのPDFによる電子版もあります。
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: SBクリエイティブ
- 発売日: 2011/03/01
- メディア: 単行本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (146件) を見る