Webブラウザセキュリティ読んだ

年始に話題になったWebブラウザセキュリティの本をようやく読んだ。

Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理するwww.lambdanote.com

なんとなく知っているつもり・名前は聞いたことあるのような概念や仕様を、それが作られた背景から丁寧に説明されていてとてもわかりやすかった。 特にOriginやCSPの章では「そもそもどういう攻撃から守ろうとしているのか」「その攻撃に関する基本的な知識は何か」から説明しているので、頭にすっと入ってくる。

デモ環境を Docker 上で試せるのもよくて、サクっと立ち上げてブラウザで動作を確かめられるのはこれまでの手元で試す系のものよりも体験がよかった。

著者とレビュアーの対談記事も出ているので、そちらも合せて読んでみると良さそう。読みながら感じていた、Webセキュリティの過渡期感と攻撃を受けないように制約をかけていきつつも後方互換性を保つ努力について語られていてよかった。

本の内容とは関係ないけど、紙の本とPDFを行き来するのは便利だった。ラムダノートのサイトで買うと紙書籍と一緒にPDFもダウンロードできて、それをiPadに入れて気分によって行ったり来たりしながら読み進めていた。

技術書の類は基本紙で読みたいのだけど、シュッとこの単語をググりたいとか、デモ試すときにページを保ちながらやるのややこしいなとなったときに電子で読めるのはとても便利だった。

以下箇条書き感想

  • CSP改めてムズいなと思った
    • 既存の挙動を実現できつつ制約はかけたいのはわかりつつも、制約の掛け方色々ありすぎて笑ってしまった
  • というかセキュリティ対策をちゃんとやるというのがそもそもムズい
  • セキュリティの問題があるWebの機能を塞ごうと思っても、それを塞ぐことによってこれまでのWebが壊れるので困るというのがよくわかる
  • 引用元の論文やブログの数が多くてすごい