OWASP Japan Chapterの第1回Meetingの記事。

Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project（OWASP）の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。
OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。
JAPANチャプターリーダーの1人、Benny Ketelslegers氏によると、OWASPは最近ではモバイル向けアプリにも活動の幅を広げており、Androidのリスクについて取りまとめた「OWASP Mobile Top 10」を公表したほか、WebGoatのAndroid版となる「Goatroid」の開発などに取り組んでいるという。

「オープンソース形式でWebアプリセキュリティの向上を」 − ＠IT

はせがわようすけ氏は「5分で分かるCSP」と題して、「クロスサイトスクリプティング（XSS）根絶の切り札」とも目されるCSP（Content Security Policy）について解説を行った。
CSPはFirefox 4／Google Chrome 18／Internet Explorer 10以降で実装される機能だ。あらかじめ、HTTPのレスポンスヘッダで許可するリソースを指定することにより、それ以外のリソース読み込みを制限できる。この際、画像などリソースの種類ごとに許可するリソースを指定することも可能だ。また、インラインスクリプトやeval関数も禁止できる。
はせがわ氏は、「CSPを活用し、ポリシー違反時にレポートを送信するような機能を作り込むことで、Webアプリケーションに対する攻撃の予兆をつかむことも可能になるかもしれない」と述べた。ただ一方で、ブラウザごとに実装が異なること、広告やアクセス解析用に埋め込んでいるJavaScriptが動作しなくなる可能性があることにも触れ、「運用はけっこう面倒かもしれない」という。
同氏はさらに、最も厳しいルールでCSPを適用していても、自ドメインのリソースを読み込むことは可能であることに目を付け、CSPを破ることは可能であることにも触れた。doctype宣言がなされていないなどの条件下では、ECMAScript for XMLを用いて、HTMLをJavaScriptとして解釈させることにより、スクリプトを実行させることは可能という。
「そもそもXSSをなくすことが大事。また、CSPによってXSSのリスクを減らすことができる」（はせがわ氏）。

「オープンソース形式でWebアプリセキュリティの向上を」 − ＠IT