OWASP AppSec APAC 2014

JPCERT/CCでは、2013年10月に「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。本講演では、この調査報告書をもとにHTML5を使用したWebアプリケーションの構築時に活用する方法を紹介する。
HTML5の利用により、Webサイト閲覧者(以下、ユーザ)のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など利便性の高いWebサイトの構築が可能となる一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されている。
JPCERT/CCでは、2013年10月に「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。本報告書での調査では、HTML5への移行がWebアプリケーションのセキュリティに及ぼす影響について、現時点における知見を可能な限り体系的に整理し、Webセキュリティ研究者およびWebアプリケーション開発者のための基礎資料を提供することを目指した。
本講演では、この調査報告書をもとに、HTML5を使用したWebアプリケーションのセキュリティに関する現状や、以下の機能や要素に関して開発時に注意する事項について、デモを交えながら解説する。
・XMLHttpRequest
・HTML新要素・属性
・ブラウザのセキュリティ機能
など

I will explain security issues related to the construction of web applications using HTML5 based on information presented in the official report on this topic published by JPCERT/CC in October 2013.
The official report published by JPCERT/CC in October 2013 on security issues related to the use of HTML5 in web application development aimed to present fundamental information on the latest expertise in this area as systematically as possible for web security researchers as well as application developers.
This presentation will include demonstrations and explanations related to the current situation of security issues with web application developed in HTML5 as well as important points that need to be taken into consideration when developing the following functions and components.
・XMLHttpRequest
・HTML new features and attributes
・Browser security functions
etc.