HTML5時代のセキュリティのお話。はせがわさんによるJPCERT/CCのドキュメントの解説というか、フォローというかそんな感じ。

皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター（以下、JPCERT/CC）から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。
この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして完成したものです。おそらく世界でもトップクラスの有用な資料なのではないかと思います。
HTML5のセキュリティ問題については、これまでにも世界中でさまざまな調査が行われてきました。しかしいずれも、調査結果を訴える対象が不明瞭であったり、また調査された問題点が断片的であったり、あるいは問題の発生する状況や対応策が非現実的な設定であったりと、開発者にとってそのまま参考にできるものではありませんでした。そのような背景もあり、今回JPCERT/CCから調査の委託を受けた際には、実際の開発現場で真に役立つ資料を提供したいとの思いを込めて作業に当たりました。

重要！ まずは「オリジン」を理解しよう (1/2)：HTML5時代の「新しいセキュリティ・エチケット」（1） - ＠IT