@takesako

• 「HTML5テクニカルレビュー」2012年3月、リックテレコム
• 15年前、1997年サイボウズ設立
  • Webアプリ(インストール不要) → すごく流行った
  • サポート対象のブラウザ → Firefox 1.0と
• Android端末: 機種数が多すぎて開発が難しい
  • 画面の大きさ、プロポーションもマチマチ
• HTML5: 様々なAPI
• fullscreen APIのセキュリティー
  • ブラウザを全画面表示できる
  • 悪用するとフィッシングできる
  • 全画面表示でブラウザの外観をまねる
    • ブラウザを判別してそっくりに作る
  • ブラウザの対策「全画面表示モードです。このサイトで許可しますか」と聞く
    • デスクトップの色をピンクにすると、そこまでは真似られないw

@Hamachiya2

• 来たらビールがただで飲めるよ、って言われて来た。まさか@hasegawayousukeさんがノロウイルスにやられるとはw
• ブラウザへのdrag&dropできる件
• ブラウザを画像表示に使ったりしませんか? pngとか
  • ファイルをブラウザにドロップすると表示できるよね
  • サイトによってはドロップされたものをアップロードする機能がある
• 「drop images here」ドロップするときに枠線を光らせるのはJSでやっている
  • body全体でドロップイベントを受け、アップロードするようなサイトが作れる
  • うかつにドロップすると送られちゃうよ!
• (一部割愛)

HTML5のセキュリティー

• ブラウザの挙動が標準化される
  • 差別化ポイントは高速化など → 無理をすると脆弱性が出てくる
• ユーザーの知らない新しい機能でフィッシングなど
  • ユーザー側にも新しいリテラシーが求められる

@bulkneets

• (先月報告したのにまだ直ってないXSSの紹介なので割愛)

サニタイズの話

• @hasegawayousuke さん欠席の理由
• T: リッチテキストエディタのsanitizeとかどうする?
• M: IEの「to_static_html」を全ブラウザでサポートするのがよい
  • JS, event handlerなどを消してくれる
  • Windows8のアプリはinner_htmlなので、そういうことが必要なのだろう
  • 文字列として渡して勝手にやってくれるのが便利
  • 誰かシミュレータ書いてくれないかな

Webカメラ

• T: WebRTCなどでカメラをHTML5ページから見えるようになっている
• M: 認証ダイアログは、タイミングよくモグラたたきゲームをやると押せるようになるのでは
• H: Webカメラにガムテープ貼ってる
  • M: Mac買ってくると、初期設定の中で自分の写真撮られそうになるので困る
  • T: ニコ生の切り忘れは結構あるみたいですね

アドレスバー偽装

• M: history.pushState使うとアドレスバーにアニメ出せる!
  • これやると履歴がすごく汚れる
• T: 同じドメインでのみ使えるように守っている
  • M: 実はそこヤバくて、ドメイン内にひとつXSSがあるだけで、そのドメインのURLを完全に偽装できてしまう
  • T: そうするとURLが信用できなくなってしまう。それは困る
• M: ブラウザのパスワード保存機能を使っているとJSから盗んだりできる。ログインページのURLを偽装できるのは本当にヤバイ
  • M: 一段「許可しますか」があるだけでだいぶ違うと思う
• M: storageはcookieよりもsame originがきっちり守られている

イタズラ公開のタイミング

• T: はまちちゃん、最近イタズラ減ってきた?
• H: ノーガード戦法が広まってきている。一昔前のブログはみんな技術者ってカンジだった。いまはそんな流れではないからなー
• M: 自分も見つけたときによくガマンしてるなーと思う。投稿できるサイトにはあまりXSSない。大手のおカタいサイトでお問い合わせフォームからイタズラ送れても面白くない
• T: 「こんにちはこんにちは」はすごく気にいってて、昼の業務時間に出してくれる分には対応できるから助かる
  • H: 実は対策まで時間がかかるように狙って金曜深夜とか、はてななら土曜出勤するはずだから日曜に出すとか、やってるんですよ
• M: 前にイベント中に直ったことありましたね
  • H: あれは伊藤直也さんの発表中にそのハッシュタグつけて流した
  • M: flashのクロスドメインXMLが全世界に向けて許可になっていた
    • M: rsyncのdelete反映されなくてデプロイで消されなかったり、デプロイしたら復活したり

クロスドメイン

• • H: 昔はよくアドレスバーにcross_domain.xmlをよく打ち込んでいたけど、最近はflash自体が減ってきた
• T: robots.txt を見るとひみつのURL教えてもらえたりとかは今でもある
  • H: その他には、.svn/entriesというのがたまに見えるよね
• M: cross_domain.xmlはドメイン単位なので、間違ってキャッシュすると取り消せないのが困る
  • M: XHR2も、昔のクロスドメインできないはずのJSコードが急にクロスドメインできるようになっちゃったり
  • M: preflightとredirect組み合わせるとIE10くらいしかまともに動く実装がなかったり
• T: IE10はいいですよ。みなさんWindows8でIE10使いましょうみたいな
  • T: JITセキュリティーがんばってたり

@takesako: IE10のJITセキュリティーについて

• Chrome以降、JITの高速化戦争勃発
  • セキュリティー対策も進んでいる
• 脆弱性の例
  • https://speakerdeck.com/takesako/javascripthaji-jie-yu-tonaru
  • JSの整数論理演算 → 機械語に落として実行
  • 問題点: 定数のたたみ込みが動かない
  • ずれたアドレスに飛んでくるとNOP列になってしまう
• ASLR (Address Space Layout Randomization)
  • Linux kernelなど
• JIT-Spray
  • JIT結果を置く場所は実行許可されているので、そこにコードをしきつめると攻撃に有利
• 定数のたたみ込みをすればしきつめることはできない
• IE10のJITセキュリティー
  • codebase alignment randomization → うめ草としてnopではなく割込命令を使う → バスエラー
  • random nop insertion
  • constant blinding (定数をmovするのでなく、xorも使ってわからないようにする)
• 結論: IE10/Windows8が世界最強のJITセキュリティ

Q&A

• スマートフォンのWebViewはこわくないのか?
  • M: こわいですよ! iPhoneアプリで多い。アドレス帳のSQLファイルのpermissionがゆるゆる。WebView内のfile://スキームで動いていると読めた
  • M: iOSはJSからできることが多すぎて困る。JSからOSの機能たたけるようにブリッジしてると、任意のJSが実行できるような穴があったときに被害が甚大になっちゃう
  • T: 標準ブラウザの問題? アプリも?
  • M: Androidだとアプリ一覧見れたりする。どこまで公知なのかもわからない
  • M: 端末がいつまでもアップデートされないので困る
  • M: PhoneGap使ったアプリもネイティブとブリッジできるので、JSに穴があるとマズイ
    • M: 内部用のAPIは認証が甘かったり、みんなたたかれないと思ってるけど結構見えるもの
  • H: CSRFもアブない
  • T: ぼくはアプリごとに別々の端末持ってる。LINE専用端末とかw
  • M: 携帯まるごとシークレットモード(友達に貸すモード)とかほしい

感想

いや、そんなことがあるのかという話をたくさん聞けました。
「友達に貸すモード」は特にiPadにほしいですね。iPadを家族で共有していると、子供がメールも読み書きできてしまうのは困ります。Appleからすれば「共用しないでひとりに1台ずつ買え」ってことなんでしょうけど。