書籍「Webブラウザセキュリティ」発刊記念 著者＆レビュアー対談(後編)

でも、Webセキュリティのベストプラクティスは相変わらずわからないままですよね。これがお勧め、これをやりましょうみたいなの。

セキュリティを高めるためのヘッダーはブラウザにたくさん実装されていますけど、それらが本当に使われているかというと疑問が残ります。
Chromeを開発したGoogleのサーバーがどのようなセキュリティヘッダーを飛ばしているかっていうと、実はほとんど使っていない。

Googleの人たちが新しいヘッダーを入れましたと言うときでも、Googleのプロダクト全体に入れましたみたいなのほぼ見ないような気がして、逆に言うと、Googleでも小さい単位でしか入れられないって感じなんだなと思いますね。
だから、これを入れておけば完璧です、間違いありません、みたいなの言えないですよね。

一方で、Webの脆弱性検査ツールの中には、特定のセキュリティヘッダーがついていないだけで脆弱性だって指摘するものもあるじゃないですか。
ツールに踊らされて、Googleでさえつけていないヘッダーつけないといけないみたいになってしまうのは、確かに安全になるのでそれはそれでいいっていう考え方はある一方で、あんまりバランスよくないなって思ったりはしますね。

本の中の記述で、きちんと文脈を作りながら「こういう理由でこの機能は出てきました」って書きたかったのは、新しく出てきた機能だから採り入れるとか、言われたから使うではなくて、なんでこの機能が必要なんだっけっていうのを考えながら使って欲しいなというのがあって。周りの情報に躍らせれて焦りはあるけど実はよくわかってない、みたいな人に本が届いたらいいなと思ってますね。

たしかにそうですね。
それと、実装も難しくなってきていますよね。たとえば、Sec-Fetchヘッダーとかって、それを受け取ったサーバー側で結局どうすればいいんですか？みたいな。
新しいセキュリティヘッダーを受け取ったサーバー側のプラクティスが整っていなくて、個々のWebアプリが自分で処理するのか、前段のリバプロなどで処理すべきものなのか。脅威を防ぐっていうのが本来の目的だと思うんで、その目的に対して「こう活用します」みたいなイメージや例が広まって欲しいという思いはありますね。

Sec-Fetchヘッダー難しいですよね。本来のセキュリティの目的で、そういうヘッダーがあることで防げるコンテキストみたいなのがある一方で、かつてのリファラーのように闇雲に使われてヘッダー本来の目的ではない使い方が広まって定着してしまうと、Webに余計な制約がかかってしまうのかなとか。

今のそういった新しい機能って、出てきた文脈が伝わらずに「こういう機能が増えました」「こういうヘッダーが追加されました」みたいな情報だけが広まってしまうので、コンテキストが見えなくて使いどころがイメージしにくく、開発者としても大変だなと思いますね

だからこそっていうのもあると思うけど、議論をちゃんと追えるようにしておくっていうのが重要なのかも知れないですね。どういう経緯で、どういう議論を経て仕様が定まり実装されたのかを押さえておかないと、使い方を間違っちゃうなってのはあるのかもしれませんね。

Spectreのようなサイドチャンネル攻撃を防ぐための機構って、ぶっちゃけWebアプリを作ってる人間からすると本来は関係ないじゃないですか。

あんまりWebアプリ開発者の範疇って感じはしないですよね

そうそう、そういう攻撃を防ぐのはOSなりブラウザーなりが頑張ってくれよ、みたいな。
自分は過去からの経緯も見てるから仕方ないなと思うところもあるけど、普通にWebアプリを作ってる人ってどういうふうに捉えてるんだろうね。

はせがわさんが本のレビューコメントで「この部分はアプリケーション開発者からすると重要性がわからないのではないか」みたいなコメントけっこうつけてくれたじゃないですか。そういう視点の違いみたいなのは執筆中もけっこう悩んで、セキュリティ屋からすればこのあたりは大事だ、責務だ、みたいに思う部分もあったり。
どうすればいいのかなって、まだ答えがないです。

サイドチャンネル攻撃を防ぐためのセキュリティヘッダーって、 開発者に付ける付けないを選ばせる基準が分かりにくいっていうか、もちろん付けることによって特定の攻撃を防げるってのはあるかもしれないけど、ブラウザーのサンドボックスがもっと強固に作られていればWebアプリ開発者がヘッダーの有無なんて気にしなくて済んだんじゃないのか？これは本来であればWebブラウザー側の責務じゃないの？みたいなことは正直思いますね。

採用するかどうかの判断コストが高いわりに得られるものが少ない、みたいな感覚はありそうですね。
そういう機能って、想定されている脅威が限定的じゃないですか。限定的っていうのもちょっと言い方が違うかもですけど。
そんな攻撃者を想定して作らないと駄目？みたいな気持ちになっちゃうような気はするんですよね。

そう、正直そう思っちゃいますよね。さっきのはせがわさんの話にもありましたけど、ブラウザーのなかのサンドボックスをもっとリッチに作っていればWebアプリ開発者は気にしなくて済んだんじゃないの？とか。ブラウザー側の責務じゃないの？みたいには感じちゃうっていうか。

要するに、小勝くんがんばれっていう話！？

そう、小勝くんがんばれって話。ここはちゃんとTwitterのリンクとかも張っておきましょう。

実際あれですよね。今、ブラウザーやWebの仕組みすべて作り替えていいっていうんだったらそのあたり考えなくてよくなるようにブラウザーも設計できると思うんですけど、今までのアプリケーションも生き残しつつ、かつセキュリティ機能も提供していくってなると、ああなっていくのも仕方ないんだろうなって思ってしまいますね。
過渡期なんだなってのは僕もまさに感じるところですね。

つばめ、20代らしからぬ発言だ。
Webには過去のしがらみがあるから仕方ないとか。

あ、いまのはぜんぶキヌガワさんがおっしゃってたことにしてください。

…。

脅威やその対策方法を整理して安全な状態をデフォルトにできるならしたいけど、そういう過去からのしがらみがあるからまずはヘッダーで緩和しましょうね、みたいに増えた感じですよね

そうですね、仕方ないんだろうなとは思います。

そう、だから最終的にはそれをデフォルトにするっていう流れになっていくんですかね

まさに、そういう意味でも過渡期なんだろうなって思います。

でもWebって過渡期が定常状態な気はしますよね。

ふふ、まさにWebですよね。Living Standardそのものですよね。ずっと過渡期。

ここ数年、後方互換性を削ぐような変更でもドラスティックに入れるようになってきたなっていうのを感じてて。
例えば、セキュアにするためにTLS1.1をブラウザーからは削除しようみたいな変更がありましたけど、実際にそれによって重要なサイトなのにアクセスできなくなるっていうのもあって。そういう仕様変更もポンポンと入れてくるなって。

ブラウザーベンダー、ブラウザーのセキュリティを考えてる人たちが持ってる脅威モデルみたいなのって気になりますよね。どういうモデルを置いてどういうアプローチしてるのか、どういう判断軸を持って機能を追加したり互換性とセキュリティのバランスをとっているのかって、具体的なところはあまり外に出てない気がして。

「めんどうくさいWebセキュリティ」っていう本があったんですけど、あの本を読んでいた時の感覚としてはWebって解決されていない問題がすごくいっぱいあって、解決策も提案されてない状態みたいなイメージだったんですよ。けど今って、かなり色んなものが解決されてきて、実際に実装も進んできてって、そういう段階に来てるっていうのが「めんどくさいWebセキュリティ」からの10年間の間に変化があったんだなっていうのは思いますね。
新しすぎるっていうか、やっと、これまで解決されなかった問題がようやく解決できるようになってきたっていう感覚が僕の中にある。

ここからは、大きな丸を埋めたあとの、その周辺の隙間を小さい丸で埋めていくみたいなことがやられていくといいのかなと思いますね。マストで解くべき課題はキヌガワさんも言う通りかなり解かれてきたように思いますので。大きな穴を埋めるのは優先順位付けで違和感あるように見えたりもするけど、少しずつ根絶の方向に向かっていくのかなと。

この手の話題、いくらでも話せそうだけどそろそろ1時間経つし文字起こしきつそうだな。
つばめはこの本に関して絶対つたえておきたいことあればそろそろ言っておいて。

なんだろ。すげー愚直なことを言うと「買ってください」なんですけど。ストレートすぎるかな。
今回レビューをお願いした方って、7名なんですけど、
レビューをお願いした方って、自分はぜんぜんレビュアーを選べる立場ではないんですけど、この人ってこういう憧れるポイントがあるからそのポイントを僕が見て盗みたいって気持ちでレビューをお願いしているところがあって、それこそ、この場にいる御三方ってブラウザーのセキュリティっていう領域では神みたいだと思っていて。
昔からいろいろ発表とか拝見してて憧れでもあった方、あ、「あった方」って過去形でもない(笑) 今も憧れの方(笑)　だったので、そういう方たちの動いているところを見たい、知識をお借りしたいってことでお願いした流れで。それ以外のレビュアーの方々も、標準化に取り組んでいるのでそういう視点があったり、CTFでの攻撃技術に関してリサーチレベルの知識を持っているだとか、それぞれのレビュアーが色んな視点でそれぞれのスペシャリティを持っていて。そういう意識で、この方だったら違う視点のコメントをしてくれそうっていうことでお願いしたっていう経緯があって。
なので、いろんな角度からの話を伺えたのは、本当に本の執筆の過程で嬉しかったところでもありますね。
なんていうか、至れり尽くせりって感じでした。レビュアーさんに関しては。めちゃくちゃありがたかったです。
執筆の過程よりも最後のレビュー受けてる過程がいちばん楽しかった。

レビューおもしろかったですよね。
トータルで何件コメントついたのかわからないくらいたくさんついてた。たぶん平均すると1ページ2,3件は超えてそう。

そういう意味でも、今回短い期間でお願いしたのにみなさん受けてくださって感謝しかないですね。
今回お願い、お話できなかった方とも別の機会で話せたらいいなと思ってるんですよね。
こんど、僕の会社でブログネタがなくなったらそうしようかな。
「続編やりたいんですけど」って確認しますね。