利用者視点と開発者視点から理解するウェブサイトの安全性

普段私たちは何気なくウェブを利用しています。そのウェブを利用するにあたり、「怪しいメールのリンクはクリックしないように！」といった注意喚起を見かけることがあります。しかし、本当に怪しいリンクをクリックすると危険なのでしょうか？

本講義の目的は、以下の通りです。

1.利用者として、ウェブサイトの脆弱性を正しく怖がろう 2.開発者として、ウェブサイトの開発にあたって適切な対策をしよう

1 について、正しく怖がるとは、どのような危険があるか、その危険がどのような条件で発生するかを把握することです。本講義では、怪しいサイトにアクセスした時点で利用者が不利益を被るようなシナリオが想定できることを、具体的な実装をまじえながら説明します。 2 について、1 で説明した危険に対して開発者がとれる防御策を説明し、その際にブラウザやフレームワークレベルの防御機構の重要性を説明します。 最後に、開発者としてデプロイするコードだけでなく、開発プロセス全体に注意しなければいけないことを、サプライチェーン問題の事例とともに説明します。

この資料は、セキュリティ・ミニキャンプ in 東京 2024 のために作成したものです。