Javaによるセキュアコーディングの第一歩

Transcript

1. @yoshitaro-yoyo 2023/01/28 参照から学ぶセキュアコーディング

2. @yoshitaro-yoyo 2023/01/28 参照から学ぶセキュアコーディング

3. ΤϯδχΞલ
   ೥݄d 
 ɹɹɹɹɹɹ
   
 ೥
   ݄d 

   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
 ೥
   ݄d
   

   !ZPTIJUBSPZPZP 
 ༀہళ௕ɾྟচ޻ֶٕ࢜ɾͤͲΓɾεΫʔϧߨࢣ 
 େࡕͷडୗ։ൃاۀ 
 େࡕͷࣗࣾ։ൃͷ4&4෦໳ 
 ۚ୔ͷ஍ۜࢠձࣾࣗࣾ։ൃاۀ 
 ΤϯδχΞͷྠɾژ౎ϓϩάϥϛϯάڭࣨ
   ӡӦϝϯόʔ
   झຯ 
 μϯεɾԻָɾόΠΫɾөըɾອըখઆɾྉཧɾΞʔτFUD yoshitaro

4. 
   ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
   
   ผ໊ࢀর໰୊ʹ͍ͭͯ
   
   ෆมੑʢJNNVUBCMFʣ
   
   ෆมΦϒδΣΫτͷམͱ݀͠ 

   
   
   
   ɹɹσΟϑΣϯγϒίϐʔ
   
   ৴པڥք 5SVTU#PVOEBSZ 
 参照から学ぶセキュアコーディング

5. 
   ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ

6. γϟϩ΢ίϐʔ͸ࢀরͷෳ੡ 
 σΟʔϓίϐʔ͸࣮ମͷෳ੡ ෳ੡ͷ໾ׂͱͯ͠ɺ࣮ମͷෳ੡͕ٻΊΒΕ͍ͯΔɻ

7. γϟϩ΢ίϐʔ͸ɺ ࢀর ஋ ͷڞ༗Ͱ͢ ࢀরڞ༗໰୊ͷݪҼͰ͢ɻ

8. Date retirementDate = new Date(Date.parse("Tue 1 Nov 2016")); Date partyDate

   = retirementDate; ϝϞϦ্Ͱ͸Կ͕ى͖͍ͯΔͷͰ͠ΐ͏͔ʁ

9. Date retirementDate = new Date(Date.parse("Tue 1 Nov 2016”)); Date partyDate

   = retirementDate; 、 ⾔ ⼀時保存領域 、 展開 必要 。 両者 違 、 ⼤ 。 様 ⼤ 領域 扱 （Java）

10. σΟʔϓίϐʔ͸ɺ ࣮ମͷෳ੡Ͱ͢ ຊདྷෳ੡ͱ͸ͪ͜ΒͷҙຯΛࢦ͢΂͖ɻ

11. Date retirementDate = new Date(Date.parse("Tue 1 Nov 2016")); Date partyDate

    = new Date(retirementDate.getTime()); σΟʔϓίϐʔͰ͸ɺෳ੡ݩͷ஋Λ༻͍ͯΠϯελϯεԽ Date retirementDate = new Date(Date.parse("Tue 1 Nov 2016")); Date partyDate = retirementDate; γϟϩ΢ίϐʔ͸͜Ε

12.   new 演算⼦ 領域   新  展開 特殊 演算⼦ 1.

    領域 新領域 確保 2. 格納 値 3. 新領域 参照値 変数代⼊ Date retirementDate = new Date(Date.parse("Tue 1 Nov 2016")); Date partyDate = new Date(retirementDate.getTime());

13.  ίϯϐϡʔλϝϞϦྖҬ͸04ͱݴޠͰγΣΞ
     ώʔϓྖҬʹ͸Πϯελϯε
     ϩʔΧϧม਺ͱ͔͸ελοΫ ෆมੑʹ΋ෳ੡ʹ΋छྨ͕͋ΓɺͦΕͧΕ۠ผ͕ॏཁ

14.  ϓϦϛςΟϒܕ͸஋͕ͦͷ··ෳ੡͞ΕΔ 
 ɹˠελοΫྖҬ಺ʢσΟʔϓίϐʔʹࣅ͍ͯΔʣ
     ࢀরܕ͸ࢀরઌͷΞυϨε͕ෳ੡͞ΕΔ 
 ɹˠγϟϩ΢ίϐʔ 
 


    ˞4USJOHܕ͸ࢀরܕ͕ͩɺෆมΦϒδΣΫτͳͷͰ 

    ࠶୅ೖͷ౓ʹΠϯελϯε͕ੜ੒͞ΕΔ ࠶୅ೖ͞ΕΔσʔλͷܕ͕
    ϓϦϛςΟϒܕ͔ࢀরܕ͔ʹΑͬͯڍಈ͕มΘΔ

15. 
    ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
    
    ผ໊ࢀর໰୊ʹ͍ͭͯ
    
    ෆมੑʢJNNVUBCMFʣ
    
    ෆมΦϒδΣΫτͷམͱ݀͠ 

    
    
    
    ɹɹσΟϑΣϯγϒίϐʔ
    
    ৴པڥք 5SVTU#PVOEBSZ 
 参照から学ぶセキュアコーディング

16. 
    ผ໊ࢀর໰୊ʹ͍ͭͯ

17. ・⼆枚⽬ Date partyDate = retirementDate; 同 参照値 共有 ・三枚⽬ partyDate.setDate(5);

    「共有 状態 意図 変更 」 
 Setter 様 可変 場合 、発⽣ 問題 「 不注意」 Java・Ruby・Python・PHP 、参照 複製 明⽰的 記述 OOP 起
18. None

19. ·ͨɺ$ ͷߏ଄ମ͸ϓϦϛςΟϒܕͷͨΊɺ
    ෳ੡͢ΔͱৗʹผͷΠϯελϯε͕ੜ੒͞ΕΔ
    ͭ·Γ୅ೖ࣌ʹৗʹෳ੡͕ߦΘΕΔ

20. ผ໊ࢀর໰୊ͷຊ࣭͸
    ʮڞ༗͞ΕͨΠϯελϯε͕ՄมΦϒδΣΫ τͷ৔߹ɺঢ়ଶมߋ͕ҙਤͤͣى͖͏Δʯ
    ͜ͱͰ͢ɻ ͔͜͜Βݟग़ͤΔղܾࡦ͸఺Ͱ͢ɻ

21.  ෆมΦϒδΣΫτΛѻ͏΂͖
     ୅ೖ࣌͸ৗʹෳ੡Λߦ͏΂͖ ෆมੑʹ΋ෳ੡ʹ΋छྨ͕͋ΓɺͦΕͧΕ۠ผ͕ॏཁ
    ෆมͰ͋Ε͹γϟϩ΢ίϐʔͰࢀর͕ڞ༗͞Εͯ΋໰୊ͳ͍ɻมߋͰ͖ͳ͍͔Βͩɻ
    มߋΛ๷͛ͳ͍ɾՄมΦϒδΣΫτ͔͠ѻ͑ͳ͍ͷͰ͋Ε͹ɺৗʹσΟʔϓίϐʔΛฦ͢

22. 
    ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
    
    ผ໊ࢀর໰୊ʹ͍ͭͯ
    
    ෆมੑʢJNNVUBCMFʣ
    
    ෆมΦϒδΣΫτͷམͱ݀͠ 

    
    
    
    ɹɹσΟϑΣϯγϒίϐʔ
    
    ৴པڥք 5SVTU#PVOEBSZ 
 参照から学ぶセキュアコーディング

23. 
    ෆมੑʢJNNVUBCMFʣ

24. 
    ΦϒδΣΫτͷঢ়ଶΛมߋ͢ΔΞΫηαϝιουΛఏڙ͠ͳ͍
    
    ܧঝͤ͞ͳ͍ʢΫϥεΛɹGJOBMɹʹ͢Δ͔ίϯετϥΫλΛɹQSJWBUFɹʹ͢Δʣ 
 ɹɹɹ୅ΘΓʹ
    QVCMJDɹͰ
    TUBUJD
    ͳϑΝΫτϦϝιουΛఏڙ͢Δ
    ɹ͢΂ͯͷϑΟʔϧυΛɹGJOBMɹʹ͢Δ
    ɹ͢΂ͯͷϑΟʔϧυΛ
    QSJWBUF
    ʹ͢Δ
    ɹΫϥε͕อ࣋͢ΔϑΟʔϧυʹՄมΦϒδΣΫτ͕͋ͬͨ৔߹ɺ 
 ɹ
    ͦΕʹର͢Δಠ઎తΞΫηεΛอূ͢Δ
    

25. 
    ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
    
    ผ໊ࢀর໰୊ʹ͍ͭͯ
    
    ෆมੑʢJNNVUBCMFʣ
    
    ෆมΦϒδΣΫτͷམͱ݀͠ 

    
    
    
    ɹɹσΟϑΣϯγϒίϐʔ
    
    ৴པڥք 5SVTU#PVOEBSZ 
 参照から学ぶセキュアコーディング

26. 
    ෆมΦϒδΣΫτͷམͱ݀͠
    σΟϑΣϯγϒίϐʔ

27. FYBNQMF FYBNQMF

28. None
29. None

30. 
    ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
    
    ผ໊ࢀর໰୊ʹ͍ͭͯ
    
    ෆมੑʢJNNVUBCMFʣ
    
    ෆมΦϒδΣΫτͷམͱ݀͠ 

    
    
    
    ɹɹσΟϑΣϯγϒίϐʔ
    
    ৴པڥք 5SVTU#PVOEBSZ 
 参照から学ぶセキュアコーディング

31. 
    ৴པڥք 5SVTU#PVOEBSZ

32. ϓϩάϥϜʹҾ͔Εͨڥքઢ
    ɾҰํͰ͸ɺσʔλ͸৴པͰ͖ͳ͍
    ɾଞํͰ͸ɺσʔλ͸৴པͰ͖Δ ͱ૝ఆ 
 ৴པͰ͖ͳ͍ଆ͔Βೖ͖ͬͯͨσʔλ͸ɺݕূʹύεɾ ແ֐Խ͠͸͡Ίͯɺ৴པͰ͖ΔଆʹҠ͢͜ͱ͕Ͱ͖Δɻ 
 ͭ·ΓϗϫΠτϦετܗࣜͰ҆શੑΛ୲อ͢Δɻ
    ৴པڥք

    5SVTU#PVOEBSZ

33. ఺ઢ͕৴པڥքઢ

34. ׂҎ্ͷιϑτ΢ΣΞηΩϡϦςΟ ໰୊͸ʮೖྗɾग़ྗʯͰൃੜ͍ͯ͠Δ
    ʮ৴པڥքઢ্ʯͰ๷ޚΛߦ͏ʮڥք๷ޚʯͷ֓೦͸ͱͯ΋ॏཁ

35.  ೖྗͷόϦσʔγϣϯ 
 ৴པڥքΛӽ͑Δશͯͷσʔλ͕ೖྗͱͯ͠৴པͰ ͖Δೖྗʢଥ౰ͳೖྗʣ͔ݕূ͢Δ
     ग़ྗͷ׬શͳແ֐Խ 
 ৴པڥքΛӽ͑Δશͯͷग़ྗσʔλΛແ֐Խ͢Δ $&355PQ4FDVSF$PEJOH1SBDUJDFTͷʮҐʯͱʮҐʯ
    

    $&35͸ถΧʔωΪʔϝϩϯେֶʹઃஔ͞ΕͨίϯϐϡʔληΩϡϦςΟରࡦΛߦ͏࿝ฮͷ૊৫

36. ϓϩάϥϜʹҾ͔Εͨڥքઢ
    ɾҰํͰ͸ɺσʔλ͸৴པͰ͖ͳ͍
    ɾଞํͰ͸ɺσʔλ͸৴པͰ͖Δ ͱ૝ఆ 
 ৴པͰ͖ͳ͍ଆ͔Βೖ͖ͬͯͨσʔλ͸ɺݕূʹύε ͯ͠͸͡Ίͯɺ৴པͰ͖ΔଆʹҠ͢͜ͱ͕Ͱ͖Δɻ ৴པڥք 5SVTU#PVOEBSZ

37. None

38. ϓϩάϥϜʹҾ͔Εͨڥքઢ
    ɾҰํͰ͸ɺσʔλ͸৴པͰ͖ͳ͍
    ɾଞํͰ͸ɺσʔλ͸৴པͰ͖Δ ͱ૝ఆ 
 ৴པͰ͖ͳ͍ଆ͔Βೖ͖ͬͯͨσʔλ͸ɺݕূʹύε ͯ͠͸͡Ίͯɺ৴པͰ͖ΔଆʹҠ͢͜ͱ͕Ͱ͖Δɻ ৴པڥք 5SVTU#PVOEBSZ

39. 
    ෳ੡ʮγϟϩ΢ίϐʔͱσΟʔϓίϐʔʯ
    
    γϟϩ΢ίϐʔ͸ࢀরͷෳ੡ɾσΟʔϓίϐʔ͸࣮ମͷෳ੡
    
    ผ໊ࢀর໰୊ʹ͍ͭͯ
    
    ՄมΦϒδΣΫτͷࢀরڞ༗͕μϝ
    
    ෆมੑʢJNNVUBCMFʣ
    
    ࠷ۙ͸σϑΝΫτελϯμʔυ
    
    ෆมΦϒδΣΫτͷམͱ݀͠
    
    ෆมΦϒδΣΫτʹՄมΦϒδΣΫτͷࢀরΛ౉͢ࡍ͸஫ҙ
    
    ෆมΦϒδΣΫτ͕ՄมΦϒδΣΫτͷࢀরΛฦ͢ࡍ͸஫ҙ
    
    ৴པڥք

    5SVTU#PVOEBSZ
    
    ͜͜Ͱ֎ͱ಺Λ੾Γ෼͚ɻ͜͜Ͱ๷ޚ͢Δɻ಺ଆ͸਎಺ͷੈք まとめ
40. None

41. ͝੩ௌ
    ͋Γ͕ͱ͏͍͟͝·ͨ͠