世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT
これ良い記事だなあ。最近なんかセキュリティ業界のあおりすぎが鼻につく気がしていたんだよね。まあその片棒を思いっきり担いでいたりもしたので、今更何をと言われてしまうだろうけど。
この記事では、実際に即したリスクの分析をちゃんとしようぜ、ということを言っていると思うんだけど、そういうところ大事っすよね。
ただ、あっしの意見はちょっと違うかなあ。あっしは、結局SQLインジェクションとXSSってセットで考えるべきなんじゃないの、と思っていたりします。
そら細かく見れば、対策する方法や対策そのものも異なりますし、例えば「SQLインジェクションには対策を行って、かつXSSの対策は行っていない」という状況になる可能性はゼロではないでしょう。しかし現実的には、SQLインジェクションというものを意識して、それに気をつけてプリペアードステートメントやらバインド機構やらを使う人たちが、XSSを見逃す、あるいはあえて対策しない、ということがあるかというと、んなことは無いんじゃないのかなあ(笑)?どちらかに対策を行ってどちらかは全く行っていないフレームワークなんてのも、2002年とか2003年あたりに作られたモノならまだしも、今どきそんなブツは無いと思うしね。
つまり、どういうやり方で開発していたとしても、両方何らかの対策が行われているか、両方とも行われていないか、大多数のサイトはそのどちらかに該当するんじゃないのかなあ。
だとすると、この記事のようにすでにリリースされてしまったサイトにXSSが見つかりました!という場合、重そうなXSSが見つかったのならば、SQLインジェクションも存在することを疑うべきだろうし、そうなったらサイトとしてのリスクは結局超ヤバ目、ということになる気がするなあ。
というか、相関を見てみたいところですね。もしかして、SQLインジェクションは多数見つかるけど、XSSはほぼ皆無、あったとしてもはせがわさんクラス、みたいな極端な例(あるいはその逆の例)が実は、現実的にはけっこう多い、ということならば、XSSがめっかった、というだけでそう騒ぎなさんな、という話は通ると思うんだけどねえ。