責任をもってWebアプリを公開するために – 資料 – “HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書”

2013年10月30日に、JPCERTコーディネーションセンターが公開した「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」という資料を読みました。以下のページからPDFファイルを誰でも無料でダウンロードして読むことができます。

HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書

目次

  • 1 はじめに
  • 2 調査の目的と方法
  • 3 HTML5において特に注意が必要な脆弱性
  • 4 HTML5における注意が必要な機能
  • 5 HTML5におけるセキュリティ機能
  • 6 まとめ

内容・感想

HTML5の登場により、今までは実現できなかった様々な機能をWebアプリケーションに実装できるようになりました。

でも、いいことばかりではありません。新しい要素やJavaScript APIが追加されたことで、悪意のある第三者が、今まではできなかった種類の攻撃をWebアプリケーションに対して行えるようになりました。なので、Webアプリケーション開発者は、これまで以上にセキュリティに注意しながら開発をすすめる必要があります。

この資料では、WebアプリケーションをHTML5をつかって開発する際に新たに発生する脆弱性のパターンとその対策、そして、効果的に使えるブラウザに実装されているセキュリティ機能について紹介されています。

HTML5を使ったWebアプリケーションが次々と登場しているこの過度期に、セキュリティ上の問題についてまとめられたこのような資料が発表されることはとても意味があることです。Webアプリケーション開発の敷居がどんどん下がっていますが、「つくっておわり」「公開しておわり」ではだめ。ユーザのプライバシーをしっかり守ること、そして、知らない間に良からぬことに加担していた、なんてことが起こらないよう、開発者が責任をもってセキュリティについて考える必要があります。これは自分に対する忠告でもあります。

僕自身、この資料を読んで、知らなかった脆弱性が発生するパターンや、ブラウザのセキュリティ機能について学ぶことができ、セキュリティに関する意識が高まりました。HTTPヘッダーでブラウザのセキュリティに関する挙動をコントロールできるなんて、知らなかったなぁ。

とはいえ、セキュリティと言われると、Webアプリケーションを開発したばっかりの初心者の方にとっては、少し敷居が高く感じるもの。この資料も、XSSやCSRFといった以前から存在する攻撃に関して、ある程度知識があることを前提として書かれているので、初心者の方は他の書籍や記事で先に勉強してから読んだほうがいいと思います。

文体も少し難し目。なので、この資料に書いてある内容を噛み砕いてわかりやすく・カジュアルに説明してくれるWeb上の記事や書籍があれば、セキュリティについて考えることの重要性がもっともっと広がって、良い結果を生むんじゃないかと思います。

資料自体は、フィードバックや新たな知見が得られたタイミングで随時更新されていく予定だそうで、これからに期待です。セキュリティについてはWebアプリケーションの開発者なら必ず勉強しておくべきことですし、僕自身もこれからしっかり勉強したい分野です。まだ読んでない人は一度目を通してみてはいかがでしょうか。

それでは!