同一生成元ポリシーに関する記述

Webのセキュリティを担保している根拠の一つが同一生成元ポリシー（Same Origin Policy）だということは、セキュリティに詳しい人なら当然の前提といってもいいでしょう。一方で、セキュリティの本でもこの話題をとりあげないことが多いという印象があります。説明しにくい話題である上に、説明しなくても一通りの話はできるということなのかもしれません。

しかし、この本では「受動的攻撃と同一生成元ポリシー」として12ページを割いて説明しています。僕はこれを目次案で見たときから非常に楽しみにしていました*1。徳丸さんの「テクニックでなく本質を伝えたい」という気持ちの表れなんじゃないかと想像しています。

レインボーテーブルに関する記述

ハッシュ値の安全性に関する議論で、レインボーテーブルの仕組みについて記述があるのも面白いと感じました。ざっくり説明すると、短い文字列に対するハッシュ値の辞書を現実的なサイズで作る方法があり、一部はネット上で誰でも使える状態になっています。ですから、セキュリティ上の理由でハッシュ関数を利用する場合、短すぎる値を元にしてはいけません。

この話題も、セキュリティ界隈の人は全員知っているけど一般のWeb技術者はあまり知らない話題といえるかもしれません。ただ、ハッシュ関数をどう使うのか、ハッシュ関数で何が守れて何が守れないのか、といったことを知らずにハッシュ関数を使うのは危険です。

防御側の立場からすると具体的な攻撃方法までは知らなくてもいいかもしれませんが、レインボーテーブルのサイズ圧縮の理屈自体が面白いので、知っておいて損は無いと思います。

未知のバグに関する記述

この本の205ページに、PHPのheader関数はHTTPレスポンス分割攻撃に対する対策が完璧でない、という記述があります。

header関数は0x0A（\n）を含んだ文字列をレスポンスヘッダとして出力しようとすると、そのヘッダ全体を出力しない仕様になっています。しかし、今の実装では0x0D（\r）を素通ししてしまうのが問題だと指摘されています*2。というのも、IE、Chrome、Operaの3ブラウザはレスポンスヘッダ中の0x0Dを改行とみなすため、現状のheader関数の実装ではHTTPレスポンス分割攻撃が成立してしまうというのです。

PHPを利用している大半の人がheader関数は安全だと考えていたのではないでしょうか。僕もこれには少しびっくりしました。僕が知らなかっただけならいいんですが、おそらく未知のバグだと思うので、bugs.php.netに報告したいと考えています*3。

まとめ

僕が個人的に衝撃を受けた箇所を紹介してみました。この本の凄さは網羅性、徹底性といった部分にあると思いますので、少し偏った紹介をしてしまった気がします。その凄みの一部でも伝わるといいのですが…。

まあ、僕が改めて言うまでもなく、この本はWeb技術者必携のセキュリティ本だと思います。これからWebセキュリティを学びたいという人には敷居が高いかもしれませんが、1周目で全部わからなくても気にする必要はありません。むしろ、ときどき読み返すたびに新たな知見があるような本だと思いますので、意欲的な人は是非買っておくべきでしょう。

レビュアーとしても勉強になることがたくさんありました。徳丸さん、ありがとうございました。すでに好評のようですし、増刷がかかるといいですね！