こんにちは、Watanabeです。
WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。
セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。
徳丸さん、主催のFindyさんの開催に感謝!
サードパーティークッキーがメインテーマ?
意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。
テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。
以下、セミナーのメモです。
セミナーメモ
Firefoxにはブラウザ標準でトータルクッキープロテクションが実装されて、「サイトAの内容を持つiframe」を掲載するサイトBにおいてiframeにはサイトAのCookieは使用されない。
サードパーティクッキー廃止の流れがすすんでおり、ブラウザも対応を進めている。サードパーティクッキー廃止で対応が難しくなる部分はあるが、セキュリティ面を考えればプラスがある。
CORS(クロスオリジンリソースシェアリング)についてはフレームワークで対策がほどこされていることが多いが、ガバガバ設定(笑)になりえるので注意が必要。
CORS…あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み。
ガバガバ設定にしてしまうとCORSで情報を窃取、改ざんのリスクが残る。そういった際にサードパーティクッキーが廃止されていると、そもそもCORSが難しくなるため安全性が高い。
CSRF攻撃…プリフライトリクエスト「①Cookieを使ってよいかの確認 ②Cookie使用にOKがでたら本当のリクエストを飛ばす」という手順で防いでいる。
CSRF攻撃...罠を設置した別サイトに誘導して、その別サイトでデータの窃取や改ざんを行う。
XSSの場合はサードパーティクッキー廃止では防ぐことが難しい。 XSSはサイトの脆弱性を利用してスクリプトを仕込む手順だったのでファーストパーティクッキーを用いるのでサードパーティクッキーが無関係。 XSS攻撃はCSPで対策しよう。
このあたりでセミナーから離脱しました。
セミナーを受けてみて
サードパーティクッキーの廃止、という事象を現職のマーケターとしてのみ接していたので「ユーザーデータの取得が難しくなる」くらいにしか捉えていませんでした。
徳丸さんのセミナーを聞いてみて、当たり前ですがブラウザもそれに応じて仕様が変化していることを知ることができました。
セキュリティに関しては攻撃手法と対策があって、そこの知識が増えたことで苦手意識が減ったように思います。興味はあるのでセキュリティ関連の教材にも手を出したいところです…。
と思ってたら、徳丸さんはYoutubeで色々とセキュリティに関する発信をされていました。まずはこちらを見ようと思います。
ではまた。