わすれっぽいきみえ

みらいのじぶんにやさしくしてやる

5日目: 本『めんどうくさいWebセキュリティ』読んだ

めんどうくさいWebセキュリティ

めんどうくさいWebセキュリティ

読んだと言っても実際めんどうくさい内容なので理解が追いついてないし、全部読めてない…。前日に書いた徳丸本とほんのすこしだけ内容がかぶっているけども、本当に少しだけしかかぶってないので徳丸本しか読んだことのない人はこの本も読んだ方がいいと思う。

徳丸本がWeb開発初心者向けに入門としてセキュリティを解説してる一方で、この本は歴史的経緯も含めて本当にこんがらがっているWebセキュリティ周りの愚痴に近い解説をしている本になっている。ところどころ文章が「ね?こんなのおかしいでしょ!」みたいな語りになってて、読んでるこっちが「お、おう」という気持ちになることがある。

普段開発していてもあとでわかる追加仕様というのが必ずあって、そういうのが上がるたびに「初めから言っといてくれよ!」と思うわけだけども正直完全には避けようがない。できるだけいろんな人と仕様とか要件とか漏れがないように詰めるけれども、一緒に考える人が多すぎると今度は決まらない。この本はまさにそういう話から生まれてるセキュリティホールをWebの歴史に沿って書いてる。

徳丸本が勉強会に使われてたし、この本もできればやりたいなぁ。ちょうど昨日勉強会が終わったところだった。徳丸本と違ってこの本にVMは付いてたりしないけどもデモをやると面白そう。例えば仕様に曖昧な部分が多かったために実装者(ブラウザの種類)によって違うものができてしまって混乱を招いたという話が結構書かれているので、ある一部の実装に関する同じ仕様を読んで人によってどんな違うものができるのか比べてみたい。同じものを読んでるはずなのに相当違うものが出来上がると予想している。作るならセキュリティについて実装者が自分で考えられるだけ考えて実装する一旦はいいと思っていて、抜け・漏れが見つかったら見つかったでじゃあどうやって埋めようかを考える場があると面白いんじゃないかなと。仕様にあったら仕様読もうねで済むけども、仕様になかったらワロエナイ。実装者が仕様を誤解することだってありえる。

まだ全然最初の方しか読めてないんだけど、とりあえずブラウザ開発者じゃなくてよかったとだけ思った。

余談ですが『HTTPの教科書』書いた人だわぁこの人ってあとで気づいて、どんな人なんかなって調べたら顔がでてきました。

enterprisezine.jp