Googleが先日だしたセキュリティ教材であるJarlsbergが面白い。
サンプルアプリを攻撃して実際に動きを見たりその対策を実施したり出来る。
AppEngineに浮かんでいるので直ぐに遊んでみることが出来る。
アクセスするとワンタイムなサイトを作ってくれてそのなかで攻撃したり出来る。
セキュリティ的なものなのでネット上でやるのは怖いのでちゃんとローカルでも動かすことが出来る。
ソース読んだり直したりするならローカルでやるのがいいかな。
ダウンロードして
http://jarlsberg.appspot.com/jarlsberg-code.zipunzip して、実行
$ cd
$ ./jarlsberg.pyhttp://127.0.0.1:8008
http://matzjiro.at.webry.info/201005/article_6.html
で確認できるはず。
そしてXSSI(Cross Site Script Inclusion) をはじめてちゃんと動かしてみた。
XSSIというとeXtended Server-Side Includesとか懐かしい感じだけどそれではなくCrossSite Script Inclusionの方ね
調べたら2008年ぐらいから言われているようだけどマニアックだよね。ぐぐってもほぼ出てこないし。
ちなみにこのパワポ資料が詳しかった。
http://dev.gentoo.gr.jp/~trombik/pub/tmp/pacsec-ja/Cross_domain_leakiness.ppt
セキュリティ系はなかなかうごかしたりやってみるチャンスが無いのでこういうのはいいね。
そしてGoogleがこういうのをやる裏にはセキュリティの対策に銀の弾丸は無く対策するにはアプリ作者が勉強しなさい!ってメッセージなんだろうな。
