ただのにっき

■ OWASP AppSec APAC 2014に参加 (3日目)

さて、カンファレンスDayの初日。そういえば学生時代は毎日通っていた御茶ノ水もずいぶん久しぶりで、今回の会場であるsola cityができたのも知らなかった。昨日は春一番ですさまじいビル風だったけど、今日は穏やか。日英の講演が2～3トラックという体裁だけど、同時通訳がつくのでいろいろ安心。

Deploying information security management for proper data life-cycle (山口英)

山口さんは大好きなのでこのイベントの目的はほぼこれといっても過言ではない(ので足を悪くされているとのことで心配)。しゃべりはあいかわらずだった……いや、ちょっとおとなしめ? 守るべきはシステムではなくデータだという指摘は、(ビッグデータ云々のご時世を抜きにしても)常に意識していないといけないポイントだなぁ。やたらとhttpsをdisっていたのが気になったけど、質問してくれた人がいたので納得。特にクライアント認証をもっと使おうという点は、とっくに限界にきているパスワード認証に代わる何かとして選択肢に入れておかないとなぁ。

Inside Story of the first SaaS type WAF Service (金床)

金床さんが開発・運用しているWAF、Scutumの話。AVTOKYO2013.5で聴いたのはそのアルゴリズムであるベイジアンネットワークの話だったけど、こっちは運用の話。全体としては「WAF機能の付いたreverse proxy」という理解でOKなので、あとは普通のWebサービス運用という解釈でよさそう。ただ、reverse proxyということで顧客に渡るアクセスがすべてWAF経由のものになるため、いろいろ問題が出そう──IPアドレスが同一になってアクセス解析や犯罪捜査で困るんじゃとか、セッション管理に癖のあるサービスが動かなそう──という疑問が湧いたが質問するチャンスがなく。

その後、展示スペースで質問したら、IPアドレスは別のヘッダでわたっているのでそれを使ってログを取ってもらうようにしているとか、セッション管理がまずいサービスは最初からお断りしているとか教えてもらった(まぁそりゃそうだ)。手軽で空気のように存在を気にしないで済むWAFというのはいいね。

Get Ready for the Next Big Wave of Attacks (Helen Bravo, Sanjay Agnani)

(主にWordpressの)プラグインの脆弱性を狙った攻撃が増えている中、さまざまなCMSのプラグインの対応についてのサーベイ報告。多くのプラグインに脆弱性があること、有料より無料の方に脆弱性が多いこと、報告しても直らないことなど、まぁいろいろつらい感じのデータが出ていた。しかしどうしようもないよなぁ、このあたり。

とはいえ会場にいたタイ人の開発者と名乗る人物から「さっきからDrupalが有料だつってるけど無料だし」みたいなツッコミが入ると「いや本体は無料だけど有料プラグインが多いし……(しどろもどろ)」みたいな対応をしていたので、報告じたいもちょっと割り引いてみる必要があるかもね(笑)。

OWASP AppSecは日本では初の開催、参加者は400人くらいということでそこそこ大きなイベントなのに、けっこう滞りなく運営されていてすばらしい(WiFiだけはちっともつながらなかったけど)。

昨日の印象にあるようにターゲットはセキュリティの専門家というよりメインストリームにいる開発・運用の人なんじゃないかとは思うけど、その層にちゃんと届いているのかはよくわからない(あまり届いてない気はする)。ただ他のセキュリティ関連イベント(OWASP local chapterとかOWASP Night含む)では見ないような人もおおぜいいたので(数年ぶりに会った旧知の人なんかもいた)、それなりに広い範囲にアピールできてはいるんだろう。

■ OWASP AppSec APAC 2014に参加 (2日目)

日本にやってきたOWASP AppSec APAC 2014、本当は昨日からだけど今日のトレーニングから参加してきた。今日の「Developer Security Training」は明日からのカンファレンスに参加する人は無料で受けられるもので、講師はJim Manico。Webアプリケーションの開発時に留意すべきセキュリティ上のポイントについての解説だった。

まぁ、例によって英語だったわけですが、すばらしく明瞭な発音、意識的かどうかわからないけど少なめの語彙を使っての解説は、日本人にもかなりわかりやすかったと思う*1。先週のアーリントン出張から間がないからおれもまだ英語耳だったというのもあるし。

内容的には網羅的であるがゆえに深い話はなく、それなりに意識的なWebデベロッパーであれば目新しい話はなかったかな。個人的にはセキュリティ啓蒙・教育も仕事上の興味の対象なので、その説明のしかたなんかには得るところがあったけど。スライド上や解説中で最初に出てくる言語がかならずJavaで、ついでPHP、さらには(PythonでもRubyでもなく)Perlが頻繁に出てくるあたり、OWASPのトレーニングがターゲットにしているのがどんな人たちなのか、なんとなく伺えるのも興味深かった。

さて、明日から2日間のカンファレンスなんだけど、どのトラックを聴くかまだ決めてない。やばい。

■ ANAのマイレージ残高をpoints-scraperで(頻繁に)確認する

そういえば、よりによってアメリカ出張中にANAマイレージクラブの不正ログインが発覚して、暗証番号を変えろと言われたわけだけど、さすがに渡米中にそういうことをして何かあったら困るので(なにしろチェックインやらチケットの確認までスマホアプリでやってるし)、帰国後に変更した。

とはいえこの変更自体があんまり意味ないけど(すでに漏れてるという前提で変更するべきだという指摘はもっともではある)、個人情報の漏洩は別にしても、マイレージが盗まれたかどうかは自分で確認できる。頻繁に残高を確認しておけばいいのだ。そんで記憶にないのに残高が減っていたらANAに指摘すればいい。今回の事件、ANAの手落ちは免れないのだから減った分は戻ってくるでしょう。

というわけで、以前公開したpoints-scraper、たしかANAにも対応してたはずと思って実行したらエラーになったので直したのを再公開した。サイトの構造変更に追従できてなかったもよう。

% gem install points-scraper
% points
Commands:
  points ana      # getting current ANA Mileage.
  points help     # show command help.
  points rakuten  # getting current Rakuten Points.
  points tpoint   # getting current T-POINT from T-SITE.
% points ana #最初はIDと暗証番号の入力を促すエディタが立ち上がる
xxxxx #いちおう伏せたけどマイレージ残高

去年からの海外出張のせいでけっこう溜まってた。何に使えばええのやら。ともあれ、この結果を毎日メールするなりなんなりすれば、残高の変化にすぐ気づけるはず。