トップ «前日 最新 翌日» 編集
RSS feed

ただのにっき


2012-09-27(木) [長年日記]

めんどうくさいWebセキュリティ(Michal Zalewski)

これは誕生日プレゼントにいただいたものですね、ありがとうございます。なにしろ書名のとおりマジで「めんどうくさい」ので、読むのにすごい時間がかかってしまった。といっても文体が理解しにくいとか、内容が難解というわけではなくて、Webの世界があまりに混沌としていて読んでてずーんと気分が重くなるので読み進むのが「めんどうくさい」(文体はところどころくすぐりが入っていたりして、軽くてわかりやすい)。

面白いと思ったのが、この本はXSSとかCSRFみたいなセキュリティ上の問題を(たとえば事例を交えるなどして)解説するというスタイルではない、という点だ。そうではなくて、Webというこの10年間に急速に、そしてつぎはぎだらけに発展してきたテクノロジーが、なかば必然的に内包することになった「仕組み上の問題点」をつぎつぎとあげていく。もちろんそこにはXSSやCSRFのようにポピュラーかつ気をつけていれば回避可能な脆弱性もあるにはあるが、むしろ仕様に穴があるけど今さら変えられないとか、複数のブラウザで実装に違いがあるがゆえに問題だとか、そういう「めんどうくさい上にどうしようもない話」がてんこ盛りなんである。たとえばSQLインジェクションについてはほぼ触れていないということからも、どこを向いている本なのかよくわかると思う。

これが他人ごとであれば面白いばかりで済んだのだけど、こっちは実際それをなんとかかいくぐって安全なWebアプリケーションを作らなくてはいけない立場だったりするわけで、数ページ読み進んでは「それムリ……」と逃げ出したくなるわけだ。あー、ほんと、なんでこんなにめんどうくさい世界に足をつっこんじゃったんだろう!

そんなこともあって、リアル世界では数千年かけて何をもって安全といえるかというコンセンサスがを得てきたのに、Webはまだ10年20年しかたっていないのだというエピローグにおける著者の指摘には、深く考えこまざるをえない。完璧に安全なWebを作ることはもはやできないのだから、そういう文化的なアプローチも必要だという話だよな。技術者的には負け発想だけど、それもある意味「成熟」だよなー。

Tags: book security

トップ «前日 最新 翌日» 編集
RSS feed