Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
web-application-security
Search
matsuihidetoshi
April 23, 2024
Technology
1
300
web-application-security
#ssmjp 41 にて、Web アプリケーション開発者目線でセキュリティを頑張った話を書きました。
matsuihidetoshi
April 23, 2024
Tweet
Share
More Decks by matsuihidetoshi
See All by matsuihidetoshi
JAWS DAYS 2024 C-9
matsuihidetoshi
0
170
クラウドだからできた 地方主導のJAWS DevOps
matsuihidetoshi
2
450
既存システムのコンテナ化で得られた知見と、 全然関係ないけど自炊を支える技術
matsuihidetoshi
0
980
Media JAWS 2023/1
matsuihidetoshi
1
580
Efforts to Organizing & Broadcastiong JAWS-UG's global event "JAWS PANKRATION 2021 -Up till Down-"
matsuihidetoshi
0
160
サーバレスアーキテクチャの考え方
matsuihidetoshi
0
85
コミュニティイベント配信基盤での サーバーレスアーキテクチャ実践
matsuihidetoshi
0
620
再利用可能なサーバーレス配信コンポーネント
matsuihidetoshi
0
200
Amplify とノー(ロー)コード開発
matsuihidetoshi
0
180
Other Decks in Technology
See All in Technology
似たような課題が何度も蘇ってくるゾンビふりかえりを撲滅するため、ふりかえりのテーマをフォーカスしてもらった話 / focusing on the theme
naitosatoshi
0
320
システムとの会話から生まれる先手のDevOps
kakehashi
PRO
0
160
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming
tomzoh
0
140
IVRyにおけるNLP活用と NLP2025の関連論文紹介
keisukeosone
0
170
30 代子育て SRE が考える SRE ナレッジマネジメントの現在と将来
kworkdev
PRO
0
190
食べログが挑む!飲食店ネット予約システムで自動テスト無双して手動テストゼロを実現する戦略
hagevvashi
1
140
ウェブアクセシビリティとは
lycorptech_jp
PRO
0
370
クォータ監視、AWS Organizations環境でも楽勝です✌️
iwamot
PRO
0
120
大AI時代で輝くために今こそドメインにディープダイブしよう / Deep Dive into Domain in AI-Agent-Era
yuitosato
1
180
All You Need Is Kusa 〜Slackデータで始めるデータドリブン〜
jonnojun
0
140
20250328_RubyKaigiで出会い鯛_____RubyKaigiから始まったはじめてのOSSコントリビュート.pdf
mterada1228
0
480
【2025年度新卒技術研修】100分で学ぶ サイバーエージェントのデータベース 活用事例とMySQLパフォーマンス調査
cyberagentdevelopers
PRO
3
5.6k
Featured
See All Featured
It's Worth the Effort
3n
184
28k
We Have a Design System, Now What?
morganepeng
52
7.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
31
4.8k
Fontdeck: Realign not Redesign
paulrobertlloyd
83
5.5k
Site-Speed That Sticks
csswizardry
4
470
The Invisible Side of Design
smashingmag
299
50k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
32
2.2k
Testing 201, or: Great Expectations
jmmastey
42
7.4k
Rebuilding a faster, lazier Slack
samanthasiow
80
8.9k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
40
2.2k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Transcript
TTNPOMJOF দҪӳढ़ 8FCΞϓϦέʔγϣϯ։ൃऀ͕ ηΩϡϦςΟΛͪΐͬͱؤுͬͨ
ࣗݾհ 9!IJEF দҪӳढ़ ελʔτΞοϓςΫϊϩδʔςοΫϦʔυ w 8FCΞϓϦέʔγϣϯ։ൃ w Ϋϥυઃܭɺߏங ಘҙ झຯ
w ྉཧ w Իָ
લஔ͖ w ઐ͡Όͳ͍ʹؔͯ͠ܦݧϕʔεͰޠΔͷͰࢦఠิܴͰ͢ w ۩ମతͳ໊͕ग़͖ͯ·͕࣮͢ࡍʹݕ౼ɾ࠾༻ͨ͠ྫͱͯ͠ग़͍͚ͨͩ͠ͳͷͰએͰ͋Γ·ͤΜ w "84ʹ͍ͩͿدͬͨͰ͢ w ༏͍͠ͰϚαΧϦ͛ͯͶʂʂ 🪓ϛʋ
ŋТŋ ʋ
੬ऑੑͷಛੑ ˠશʹʹ͢Δͷ͘͠ɺݶΓͳ͘ʹ͚͍ۙͮͯ͘ ɹίετͱಉ͘͡Ұରࡦͯ͠ऴΘΓͰͳ͘ৗʹվળ
੬ऑੑͷ
ڥ w يಓʹ͖ͬͯͯɺηΩϡϦςΟʹϦιʔεΛׂ͚Δ༷ʹͳ͖ͬͯͨελʔτΞοϓ w ։ൃऀਓͰɺϑϩϯτΤϯυɺόοΫΤϯυɺΠϯϑϥִͨΓͳ͘Δ w ڥશ໘తʹ"84Λ͍ͬͯΔ w ࣮͔ࣗΒ͠Β͘Ε͍ͯͯɺΠϯϑϥ ЋͷϦʔυͱͯ͠֎෦͔Βࢀը
Ϗδωε ېࢭࣄ߲ɾن Ψόφϯε ΞΧϯτใͷཧͳͲͷϧʔϧ ࢹɾஅ ֤छ4BB4πʔϧ ϑΝΠΞΥʔϧ ੬ऑੑอޢ%%P4ɺෆਖ਼ར༻ରࡦ Πϯϑϥ ωοτϫʔΫݖݶͷཧ
ΞϓϦέʔγϣϯ ༷ͷߟྀΕόάͷࢭ ηΩϡϦςΟύονͷద༻ ؾʹ͠ͳ͍ͱ͍͚ͳ͍ϨΠϠʔͷ۠ ˠͲ͔͜Ұखʹ୲͏ͷͰͳؔ͘ऀશһͷ
Ϗδωε ˠٕज़తҎ֎ʹߟྀࣄ߲͕͋Δ w ن w େྔΞΫηεΫϩʔϦϯάɺࣗಈԽͷ੍ݶېࢭͷݕ౼ w "1*ϦΫΤετ্ݶͷܾఆ w ௨ͱ߹ҙ
w نͷݟ͠ɺվఆ w վఆ༰ͷ௨ͱ߹ҙ w ෦ؒͷௐ w ։ൃ෦͔ΒͷఏҊͷݕ౼ w ։ൃ෦ͷཁ
Ψόφϯε ˠ։ൃऀઢͩͱҊ֎खബʹ w ൿಗใ w γʔΫϨοτྨύϒϦοΫͳॴʹஔ͠ͳ͍ w ը૾ͳͲ݁ߏ w ΞΧϯτཧ
w .'"ͷઃఆ w ͷอޢ w ΟϧεରࡦιϑτͷಋೖͳͲ w ೝূͷऔಘॿ͚ʹͳΔ͔
ࢹɾஅ ࢹɺՄࢹԽπʔϧ ҟৗΞΫςΟϏςΟͷݕਖ਼ৗੑͷ֬ೝɺ௨ ɾΤϥʔܯࠂʹΑΓ߈ܸΛೝ ɾγεςϜϝτϦΫεͷ؍ଌ ɾ௨ͷࣗಈԽ
ࢹɾஅ அπʔϧ Ұൠతͳ8FCΞϓϦέʔγϣϯ੬ऑੑͷݕ ɾϩάΠϯγφϦΦొʹΑΔཏతͳ८ճ ɾύε͝ͱͷࣗಈϦΫΤετʹΑΔ੬ऑੑݕग़ ɾෳࡶͳϖʔδͷγφϦΦొ ˠ։ൃʹΑΔ੬ऑੑͷ࡞ΓࠐΈΛܧଓతʹൃݟɾରॲͰ͖Δ
ϑΝΠΞΥʔϧ "848"' 8"' $MPVE'SPOU &MBTUJD-PBE#BMBODJOH w "845IJSEQBSUZͷϚωʔδυϧʔϧΛઃఆ w ಠࣗͷϧʔϧઃఆՄೳ w
֤छ"84Ϧιʔεͱ౷߹Մೳ w 8"'ͦͷͷ Ϛωʔδυϧʔϧ͝ͱͷྉۚ
ϑΝΠΞΥʔϧ "848"' ར 8"' $MPVE'SPOU &MBTUJD-PBE#BMBODJOH w ϚωʔδυͰଟ͘ͷ੬ऑੑʹରԠͰ͖Δ w ಈతʹγάωνϟ͕Ξοϓσʔτ͞ΕΔ
w ΞϓϦέʔγϣϯͷϨΠϠʔ͔ΒΓͤΔ w ΞϓϦέʔγϣϯϦιʔεʹෛՙ͕͔͔Βͳ͍
8"' "848"' ݕ౼ࣄ߲ͱେମܾ·ͬͯ͘Δ͜ͱ w ରϦιʔε w "-# w $MPVE'SPOU w
ϧʔϧ w ˞ཁݕ౼ w ϩΪϯά w $MPVE8BUDI-PHT w 4 w "NB[PO,JOFTJT%BUB'JSFIPTF
8"' "848"' ྉۚ ྫ '3VMFTGPS"848"' $PNNPO7VMOFSBCJMJUJFT&YQPTVSFT $7& 3VMFT ͷ߹ wϦʔδϣϯ͝ͱʹ
݄ wສϦΫΤετ ˠ8"' Ϛωʔδυϧʔϧ 8$6ͷίετ͕͔͔Δ
8"' "848"' ߟ͑Δ͖͜ͱ w ಋೖλΠϛϯά w ॳظಋೖ͓͚ͯ͠ΞϓϦέʔγϣϯଆͷӨڹΛ࠷খݶʹͰ͖Δ͕ɺίετ͕͔͔Δ w ಈ࡞ͷӨڹ w
ॳظಋೖͷ߹ཁ݅ΛຬͨͤΔ͔Α͘ݕ౼͢Δඞཁ͕͋Δ w ్தಋೖͷ߹طଘಈ࡞ʹӨڹ͕ͳ͍͔ݕ౼͢Δඞཁ͕͋Δ w ίετࢼࢉ w ผϨΠϠʔͰͷରԠ w 8"'ͱผͷϨΠϠʔͰରԠՄೳͳͷ͋ΔʢFUD*1੍ݶͳͲʣ
Πϯϑϥʢ͍ͯ͏͔"84ʣ w *".ϩʔϧʹ༩͍͑ͯΔݖݶ࠷ݶʹͳ͍ͬͯΔ͔ʁ w ωοτϫʔΫઃఆඞཁ࠷ݶʹͳ͍ͬͯΔ͔ʁ w αϒωοτ w ηΩϡϦςΟάϧʔϓ w
Πϯλʔωοτʹग़͞ͳͯ͘ྑ͍௨৴͕ग़ͯͳ͍͔ʁ w ڥมͳͲͷγʔΫϨοτྨͷཧద͔ʁ w 1BSBNFUFS4UPSF w 4FDSFU.BOBHFS w ෆཁͳڞ༗͕ͳ͍͔ʁ
Πϯϑϥʢ͍ͯ͏͔"84ʣ w ڥʹଓͰ͖ΔՕॴՄೳͳݶΓด͍ͯ͡Δ͔ʁ w ౿Έ w FDTFYFDVUFDPNNBOE w αʔόʔίϯςφʹ੬ऑੑͳ͍͔ʁ w
ΠϝʔδεΩϟϯ͢Δ w ηΩϡϦςΟύονͷద༻ w ݕ௨ͷΈಋೖ͞Ε͍ͯΔ͔ʁ w 4FDVSJUZ)VC (VBSE%VUZͰͷ4MBDL௨ͳͲ w ΞΧϯτӡ༻ద͔ʁ
ΞϓϦέʔγϣϯ ҰൠతʹΒΕΔ੬ऑੑΛ࡞ΓࠐΜͰ͠·͍ͬͯΔɺ·ͨରࡦ͕ෆेͳՄೳੑ͋Δɻ w $43' w ϒϧʔτϑΥʔε w ηογϣϯϋΠδϟοΫ w 42-ΠϯδΣΫγϣϯ
w ѱҙ͋ΔιʔείʔυΛؚΉ044ϥΠϒϥϦͷར༻ w FUD ྫ
ΞϓϦέʔγϣϯ ϩάΠϯηογϣϯͷཧ͕దͰɺϩάΠϯॲཧࣗମʹ੬ऑੑ͕ͳ͍ͱ͍͏લఏͰ͋ͬͯ ϩάΠϯޙͷը໘ͷ࣮࣍ୈͰ੬ऑੑΛੜΜͰ͠·͏ةݥੑ͕͋Δɻ w ࣮ଞͷϢʔβʔͷߘΛվ͟ΜͰ͖ͯ͠·͏ w ଞͷϢʔβʔͷ*%Λࢦఆ͢Εݸਓใ͕ݟ͑ͯ͠·͏ w 6*తʹఆͨ͠ૢ࡞͔͠Ͱ͖ͳ͍͕ɺπʔϧΛ͑ఆ֎ͷ$36%ཱ͕ͯ͠͠·͏ ྫ
ˠࣗಈςετͰରԠͰ͖Δ͕ɺࣗಈςετͷ؍͕࿙Ε͍ͯͨΒൃੜͯ͠͠·͏ ɹϨϏϡʔܒͰؤுΔ͔͠ͳ͍͔
ͦͷଞ w 8FC্ͷҰൠతͳΨΠυϥΠϯͷ९क w ύεϫʔυϙϦγʔϩάΠϯͷ༷ w ϝʔϧͷૹ৴ w Ξοϓσʔτ w
ݴޠϑϨʔϜϫʔΫ w ϥΠϒϥϦ w ϛυϧΣΞ
·ͱΊ w ؔΘΔϝϯόʔશһ͕ࣗ͝ͱͱͯ͠ηΩϡϦςΟʹऔΓΈ·͠ΐ͏ w ͋ΒΏΔϨΠϠʔͰ੬ऑੑ͕ൃੜ͑͠·͢ w Ұରࡦͨ͠Β0,Ͱͳ͘ܧଓతʹ੬ऑੑΛʹ͚͍͖ۙͮͯ·͠ΐ͏ w ҟͳΔׂͷνʔϜؒͰ࿈ܞͯ͠ରࡦ͠·͠ΐ͏
ηΩϡϦςΟʹؔ͢Δใऩू w 08"41+BQBO w $ZCFSTFD w 4FDVSJUZ+"84
͓ΘΓ