PHPカンファレンス2014 対談セッション 「ウェブエンジニアに必要なセキュリティスキルとは」のつぶやき
徳丸「そもそも注意しなければならないと言うことがけしからん。注意力には限界がある。会社で失敗して上司から今後どうするのか問われて「注意します」と言ったら怒られるはずだ。」 #phpcon2014
2014-10-13 08:02:42大垣「開発者はウェブアプリのルールを作れる。入力バリデーション無しが民家、入力バリデーションありが要塞、どちらが安全なのかは明らか。だからバリデーションは絶対必要、非常に重要」??? #phpcon2014
2014-10-13 08:02:52司会「セキュリティ情報を効率的に収集する方法は」 大垣「OWASP TOP 10、CWE/SANS TOP 25」 徳丸「開発者の方がという前提なので、プロのセキュリティリサーチャーがやるような方法を紹介しても仕方がない」 #phpcon2014
2014-10-13 08:03:05徳丸「重要なのは信頼性・網羅性・早さの3点。まずIPAやJPCERT/CCが出している情報…これらはちょぴっと遅いが、信頼性を保つためには仕方が無い。スピーディなソースとしては、信頼できそうなセキュリティ研究者等のTwitterをウォッチする」 #phpcon2014
2014-10-13 08:03:14大垣「テキスト処理の基本を理解していれば、Shellshockの元凶となった機能がいかに危険なことなのか作る時点でわかること」テキスト処理の基本と呼ばれる何かは汎用性高いな… #phpcon2014
2014-10-13 08:03:23大垣「想定外をいかに減らすようなアプローチを取るのかが大事なので、基本的・概念的なところからきっちり押さえて全体対策を取るべき」基本的・概念的・全体的…なるほどわからん #phpcon2014
2014-10-13 08:03:32大垣さん司会から振られた話を無視してまたCWE/SANS TOP 25の名を出してバリデーションの重要さを説き始めたw そしてひとしきり話し終えて元の話に戻ろうにも自分が何を振られたのか思い出せずまた新たな話を振ったww #phpcon2014
2014-10-13 08:03:53徳丸「WAFは攻撃検知型のものに変わってきて導入しやすくなっている。まずはアプリを正しく書くことが大事だが、アプリ側での対策漏れやShellshockのような緊急のものに対しては有効」 #phpcon2014
2014-10-13 08:04:02今回は「バリデーション」以上に「テキスト処理の基本」が連呼された対談でした。 #phpcon2014 #バリデーションおじさん #テキスト処理の基本おじさん
2014-10-13 08:04:29大垣さんと徳丸さんで、大垣さんのほうが理想論って書いてる人多いけど、「エンジニアが個別の施策を取らなくても安全なものができるような施策が取られていく方がよい」というのこそ理想論な気がするんだけどなー。 togetter.com/li/730455?page…
2014-10-13 04:35:13