小飼弾のアルファギークに逢いたい♥

#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか

この記事を読むのに必要な時間:およそ 1 分

天野 仁史さん,Hamachiya2さん(はまちちゃん)との対談の中編です。

編集部注)
本対談は2007年3月に行われたものです。

こんにちはこんにちは!

弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの?

は:確かmixiを始めた2年前くらいかな。mixiってブログと違って,日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して,それがマイミクのマイミクまでどんどん伝染していっちゃって,その日の日記一覧が全部「ラーメン」になっちゃったんですよ(笑)。で,これはすごくおもしろいと思って,今度は強制的に起こしてみたらどうなるかな…ってやってみたのがキッカケかな。

天:あそこまで広まるとは思わなかった? そのぐらいは狙ってた?(笑)

は:うん。ワームにした時点で,きっとすごい勢いで広がるだろうなーとは思っていたよ。

天:じゃあmixiが最初のXSS注1)? 「こんにちはこんにちは!」って流行ったのが最初なの?

は:そうだね。でも,あのときのはCSRF注2だったかな。

小飼弾さん(撮影:武田康宏)

画像

弾:XSSってさ,サーバを運営しているほうには被害がないんだよね。おもしろい特徴としては,被害をすり抜けちゃうんだよね。だからブラウザを見た人に被害は行くけども,サーバの環境っていうのはそのままスルーじゃん。気がつきにくいっていうのはそれもあると思うんだよね。システムを運営している人はまったく痛くないという。

注1)
Cross Site Scriptingの略。適切なエスケープ処理が行われていない部分を狙って,閲覧者のブラウザ上でコードを実行させる攻撃。
注2)
Cross-Site Request Forgeriesの略。意図しないリクエストを閲覧者のブラウザから発生させることにより,対象のサイトの機能を閲覧者に実行させる攻撃。

どうやって見つけるか

天:よくあんだけ発見できるよね。

は:特に発見しようとギラギラしてるわけじゃないんだけど,ブラウザ開いているときは,リクエストとレスポンスのヘッダはいつも目に入るようにしているよ。これは普通の人も,普段から目に入るようにしておけばいいのにね。最初はよくわからなくても,「301かーリダイレクトされたね」ってだんだん慣れて,何が行われているかわかるようになるし。普段からそんな感じでWebブラウジングしてて,あれれって思って見つけることが多いかな。 それで,うっかり発見しちゃったら,それって「想定外のこと」ができちゃう状況じゃないですか。そしたら,そこにエンターテイメント性とか持たせたくなっちゃうよね! 人として…!

弾:人として(笑)。

は:ぼくが考えるのはそこからだよ。バグを見つけるのなんて誰にでもできる。

天:はまちちゃんの脆弱性,憎めないというか,本当は踏んじゃいけないんだけど,なんか踏みたくなってしまうみたいな。

弾:セキュリティってどうしても二の次,三の次になるんだよね。使えてなんぼっていうのが先にあるから。だから新しいものを作ったら,必ずそれに付帯するセキュリティホールができると思う。初めから思っていたほうがいいよ。

は:でもそれはしかたないことで,Webで何か作ろうって思ったときに,あぁでもセキュリティもちゃんとしなきゃとか,ネガティブなところで止まってしまうより,セキュリティホールなんか気にせずガンガン作ったほうが,よっぽど自分のためにも,世の中のためにもなると思うよ。だいたい,昨日今日できたばっかりのWebサービスのセキュリティホールを狙う人なんかいないし,狙われたところで,大したことなんてないよ。

著者プロフィール

小飼弾(こがいだん)

ブロガー/オープンソースプログラマー/投資家などなど。ディーエイエヌ(有)代表取締役。1999~2001年(株)オン・ザ・エッヂ(現(株)ライブドア)取締役最高技術責任者(CTO)。プログラミング言語Perlでは,標準添付最大のモジュールEncodeのメンテナンス担当。著書に『アルファギークに逢ってきた』(2008年5月,技術評論社)。ブログは『404 Blog Not Found』

URLhttp://blog.livedoor.jp/dankogai/

コメント

コメントの記入