天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の中編です。
こんにちはこんにちは!
弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの?
は:確かmixiを始めた2年前くらいかな。mixiってブログと違って、日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して、それがマイミクのマイミクまでどんどん伝染していっちゃって、その日の日記一覧が全部「ラーメン」になっちゃったんですよ(笑)。で、これはすごくおもしろいと思って、今度は強制的に起こしてみたらどうなるかな…ってやってみたのがキッカケかな。
天:あそこまで広まるとは思わなかった? そのぐらいは狙ってた?(笑)
は:うん。ワームにした時点で、きっとすごい勢いで広がるだろうなーとは思っていたよ。
天:じゃあmixiが最初のXSS[1]? 「こんにちはこんにちは!」って流行ったのが最初なの?
は:そうだね。でも、あのときのはCSRF[2]だったかな。
弾:XSSってさ、サーバを運営しているほうには被害がないんだよね。おもしろい特徴としては、被害をすり抜けちゃうんだよね。だからブラウザを見た人に被害は行くけども、サーバの環境っていうのはそのままスルーじゃん。気がつきにくいっていうのはそれもあると思うんだよね。システムを運営している人はまったく痛くないという。
どうやって見つけるか
天:よくあんだけ発見できるよね。
は:特に発見しようとギラギラしてるわけじゃないんだけど、ブラウザ開いているときは、リクエストとレスポンスのヘッダはいつも目に入るようにしているよ。これは普通の人も、普段から目に入るようにしておけばいいのにね。最初はよくわからなくても、「301かーリダイレクトされたね」ってだんだん慣れて、何が行われているかわかるようになるし。普段からそんな感じでWebブラウジングしてて、あれれって思って見つけることが多いかな。 それで、うっかり発見しちゃったら、それって「想定外のこと」ができちゃう状況じゃないですか。そしたら、そこにエンターテイメント性とか持たせたくなっちゃうよね! 人として…!
弾:人として(笑)。
は:ぼくが考えるのはそこからだよ。バグを見つけるのなんて誰にでもできる。
天:はまちちゃんの脆弱性、憎めないというか、本当は踏んじゃいけないんだけど、なんか踏みたくなってしまうみたいな。
弾:セキュリティってどうしても二の次、三の次になるんだよね。使えてなんぼっていうのが先にあるから。だから新しいものを作ったら、必ずそれに付帯するセキュリティホールができると思う。初めから思っていたほうがいいよ。
は:でもそれはしかたないことで、Webで何か作ろうって思ったときに、あぁでもセキュリティもちゃんとしなきゃとか、ネガティブなところで止まってしまうより、セキュリティホールなんか気にせずガンガン作ったほうが、よっぽど自分のためにも、世の中のためにもなると思うよ。だいたい、昨日今日できたばっかりのWebサービスのセキュリティホールを狙う人なんかいないし、狙われたところで、大したことなんてないよ。