OWASP Kansaiさんのセミナーイベントに行ってきました。
http://owasp-kansai.doorkeeper.jp/events/11536
題材はHTML5 Security。
気になるネタだったので、早目に申し込んでいました。
枠70人だそうですが、会場はほとんど埋まっているように見えました。
会場アンケートの状況を見る限り、割合はデザイナーさんと
エンジニアさんほぼ半々だそうです。やはりホットな話題なんでしょうね。
というわけで、内容のメモ。
(1)イントロ
Webサイトセキュリティの現状について、事例を交えながら紹介。
あの企業さんもやられてたのね。
(2)HTML5が最近どうなっていて何があぶなっかしいのか?
http://www.slideshare.net/bathtimefish/html5-35589452
セキュリティの細かい技術は後ろの講演でということで、
HTML5の関連技術全体からのアプローチ。
JavaScriptやCSS3がクローズアップされてるけど、これらはHTML5ではなく、
あくまでもHTML5の関連技術の仕様。
TVチューナーAPIが出来そうとか、3Dグリグリいじれたりとか、
JavaScriptっていろんなことができるようになってるだけでなく、
高校の「情報」の教科書にも(自宅のPCで手軽に試せるから!?)。
Tizenは車載分野では結構進んでる。
まさか、セキュリティの勉強会で狐物語に会えるとは。
(3)負ける気せえへん HTML5セキュリティやし
XMLHttpRequest,Cross-Origin Resouce Sharing,Content Security Policyの話。
この辺の話ってHTML5セキュリティで括られてるけど、既存のHTML4までの
Webサイトでも当てはまるものがありそう。
既存のWebアプリにCSPを適用すると、ブラウザによってはアプリそのものが
動かなくなる可能性も(正式導入はもう1〜2年待った方がよい?)。
(4)HTML5のセキュリティ、もうちょい詳しく!
WebSocket、WebStorage、WebWorker周りのセキュリティの話。
後日資料公開するので、メモ不要とのこと^^;
(5)ミニ懇親会
ピザが美味