jovi0608.hatenablog.com

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS …

これ結構怖いなぁと思ってる。 本来なら実装されるべきではなかったものが平然と動いている。

隠し機能とか非言語コミュニケーションは楽だけどプログラミングとか抜けがあってはいけないところでやってはいけないと思う。 暗黙知の何が怖いって知らない人がその領域に無意識に足を踏み入れてしまう危険性が一切考慮されないこと。 楽なのはわかるがどうかんがえてもセキュリティホールになる。

便利だからいいじゃんではなく、その裏に潜むリスクをしっかり考えないといけない。 「薬物使うと気分がよくなるからいいじゃん。他人に迷惑かけないし。」に似ている。 実際のところ医者や警察にはお世話になってしまうから迷惑はかかっている。 プログラミングもメンテナンスする人や利用者に迷惑がかかる。 セキュリティを考える人達にも迷惑がかかる。 シンプルが一番だよ。いかに楽に書けるかなんて重要じゃない。 いかに楽に放置できるかが重要なんだ。