2018/8/29に六本木の「SuperDeluxe」で開催されたWASNight 2018 Summerに参加してきました。
あのビックゲストも登壇するということで、勇んで参加してきました。
メモがあまりとれなかったので、ちょこちょことしか記載できませんが、雰囲気を感じていただければと思います。
また、内容に関しては個人的な見解も含まれていますので、あらかじめご了承ください。
徳丸さんセッション
あの徳丸さんのセッションがありました。内容は以下の本に関する話をしてくださいました。
セキュリティ関係者の皆様なら一冊はちゃんと持っていますよね。ちなみに私は第一版と第二版両方持っています。
スライドの写真を撮っていますがスマホで撮影してますので画像が荒いのはご了承ください。
内容で気になったのは、パスワードに関する取扱いや、バージョン情報が表示されること、IDが判別されることに対する言及です。
・パスワードに関する取り扱い
パスワードは本当に入力時に画面上に表示してはいけないのかというお話をしていました。IEについてはパスワード入力箇所で入力した内容が確認出来るようになっていますね。
以下のように通常はマスクされていますが。
パスワード入力フォームの左側の黒いマークの個所をクリックするとクリックしている間は以下のように入力内容(パスワード)が表示されます。
やはり入力桁数が多くなればなるほどパスワードを入力するのが億劫になってしまい、簡単なパスワードにしてしまうことが増えてしまうので、こういった機能は良いと思いますね。
流石にこの機能を問題として指摘しているセキュリティ会社はまだ見かけたことはないですが、いるのでしょうかね?
・バージョン情報の表示に対する言及
現在のところセキュリティ会社各社はバージョン情報が表示されることに対する指摘を行っていると思います。
バージョンの表示に対する対策はセキュリティ診断対策という話がありました。
確かにPHPのサイトであれば、バージョン情報はレスポンスのヘッダによく表示されています。これで指摘するのは違うのではないかということを話していました。適切にアップデートされていれば問題ないのでは?
個人的な思いとしては、バージョン情報を抑制しようとしているサイト、通常はバージョンは表示されていなく、404や500エラー発生時もカスタムエラーとなっているサイトがあったとします。
しかし特定のエラーコード(例えば400エラー)のみでバージョンが表示される場合は設定の漏れと考えることができるので、指摘した方が良いかなと考えています。(組織的にやるのは難しそうですが)
・IDの判別
これは前に記事にしましたね。
徳丸さんも言っていましたが、これだけで指摘するのは今後は違ってくるのかなと、googleも判別できるようになっていますしね。
これだけの問題で指摘するのではなく、パスワードの強度と合わせて指摘するのが良いかと言っていました。(物凄い同感しました。)
その他
今回私は徳丸さんの話をメインで聞きに行ったので、あとは簡単にとさせていただきますが、PCIRT(製品セキュリティインシデント対応チーム)の話や、Headningの話とかがあり、非常に楽しむことができました。
特にHeadningについては、私は数年前に一回だけ沖縄の会に参加したことがあるのですが、確かに面白いイベントです。
今年は色々家庭の事情があってきついのですが、来年か再来年は参加したいな~と
もし一緒に参加しようぜ!的な人がいたら誘っていただけると嬉しいです。
また、他の勉強会に参加した際に記事にしたいと思います。
不明点や要望やこういったこともやって欲しいとの要望があれば、お問い合わせページやコメント、ツイッターからでも結構ですので、気軽にご連絡ください。
コメント