読者です 読者をやめる 読者になる 読者になる

NissyBlog

Life goes on.

PHPカンファレンス2014に行ってきました(後編) #phpcon2014

本日はPHPカンファレンス2014に行って参りました。

PHP Conference 2014 #phpcon2014 - Togetterまとめ

PHPカンファレンス 2014 & WordCamp Tokyo 2014 講演資料まとめ #phpcon2014 #wctokyo | Time to live forever

この記事の前編はこちらになります
PHPカンファレンス2014に行ってきました(前編) #phpcon2014 - NissyBlog

ウェブエンジニアに必要なセキュリティスキルとは

徳丸さんと大垣さんのトークセッション
6Fのサテライト会場にさえ入れないくらいの沢山の方がいらっしゃっていました。
トークセッションの形式は、
司会の方が用意されていたいくつかの質問に対して
徳丸さんと大垣さんがご意見を述べる形式でした。
最初からバチバチ感満載で画面越しでも非常に見応えのある対談だったように感じます。
以下に用意された質問に対する回答、トークセッション中の発言の一部
の順に書いていきます。

質問:脆弱性を作ってしまわないためには何が必要か??
大垣さん:個別の対策というよりは概念と基礎知識にのっとって作って行く。
徳丸さん:核論は重要だけど、何をしなければいけないか??という行動を知ること。


質問:情報収集方法は??
大垣さん:OWASP TOP 10、CWE/SANS TOP 25
徳丸さん:IPAの情報や、信頼出来る人のTwitter

質問:普段はどの様な視点でセキュリティ事象を見ているのか??
大垣さん:新しい脆弱性を見つけた時、「基本を知っていたら大丈夫なのに。。。」って思う。
徳丸さん:攻撃者は最小の労力で最大の効果を得ようとする。ひとつの箇所を固くすると別の場所が狙われる。


質問:セキュリティ環境は今後どうなっていくのか??
徳丸さん:WebアプリやXSSに関してはフレームワークによって個別の施策を打たなくても大丈夫になるのが望ましい。
     端末側のマルウェアは無い前提ではいけない。嫌だけど。トータル的に考えて行く必要がある
大垣さん:危険なテキスト処理は簡単に出来るし、Webアプリがテキストベースであることは10年変わらない。
     基本的な原則を理解しなくては行けない、という現状は変わらない。

大垣さん:バリデーションは緩和策であって他の対策もすることが大切です。
徳丸さん:バリデーションをやらないのはイケてない
     バリデーションをすれば大丈夫ではない
     SQL生成、html生成だけでなく、バリデーションもするというスタンスが大切

大垣さん:個別対策は重要。
     でも、覚えなきゃいけないことが沢山あるからこそ、
     基本概念のところを理解する必要がある。
徳丸さん:ごちゃまぜにするから訳が分からなくなる。
     個別に適切な対策を取るべき。

徳丸さん&大垣さん:攻撃検知型でWAFは有効。入れるメリットはある
         ホワイトリストでやるべきはWebアプリ。

大垣さん:セキュリティ対策はどこまで許容できるかの判断。システムによってかわる。
     普通の建物は侵入しやすいが、要塞化することで侵入しにくくすることが出来る。
徳丸さん:Webアプリは入り方も出て行き方も決まっている。
     そこに対し個別で対応するのがいいと考える。個別具体的な方法で対策することが大切。

大垣さん:徳丸さんに質問ですが、例えばビルを建てる時にセキュリティをどうします?
徳丸さん:私はビルを建てられません。

初心者向けPHPソースコード診断

このセッションからサテライトではなく、実際の会場で聞くことに成功出来ました!!

内容は、エンジニアじゃない人が出来るエンジニアを見極めるのは難しい。。。
正規表現でイケてないコードにありがちな要素を抽出してみようという内容でした。

正規表現で抽出した内容
  • global変数
  • 閉じタグ
  • empty関数
  • array_push関数
正規表現で抽出してないけど他に危険なやつ
  • ifやfor文を括弧でくくらない
  • インクリメント、デクリメント

セッション後にお話させていただいたのですが、何でも8月くらいに元ネタがあったそうです。
この考えを参考にオレオレCodeSnifferみたいなツールを作ってみると
明らかにイケてない構文を少し減らすことが出来そうな気がしました。

無差別級LT大会

PHPNGの話はLTというより、ひとつのセッションで話しても良い内容だったように思います。
来年はPHP7かな??
extentionの作者は涙目なお話もあったけど、
curlやOPC、PDOのようなPHP内蔵のものは対応してるみたいだし、
Phalconみたいなメジャー所は対応してくるのではないかと思ってます。

感想

カンファレンスに参加すること自体初めてだったので、
ついて行けるか不安でしたが、
どのセッションも分かりやすく、
聞いてて沢山の刺激をいただきました。
スピーカーの皆様、運営の皆様、本当にお疲れさまでした。