YAPC::Hakodate 2024に参加してきました。近年のYAPCでは参加するだけで登壇していなかったのですが、今回はゲストとして呼んでいただいたので、40分枠で自分の仕事に少し関係ありそうな技術ネタみたいなものを話させてもらいました。
スライドを作る上で、めんどうくさいWebセキュリティを久々に読み直したのですが、2012初版と古い部分はあるのですが(IEの話とか)、基本的な部分は今でも変わらないので、たしかにそうだったなといった発見もあって面白かったです。 また、Webブラウザセキュリティも読み直しました。今も変わらずよい本です。スライド前半部分で詳しく解説しきれなかった部分はだいたいこの本に書いているくらいで、そういった本の補完的なところができる部分や周辺でYAPC参加エンジニア層にウケそうな話題を思う存分詰め込もうという気持ちでスライドを書く原動力となりました。
最終的なトーク内容としては、フロントエンドとバックエンドの話も含めつつ、ある程度飛び飛びで色んな話ができたほうが面白いだろうということで以下のような流れで紹介するという形になりました。
- Cookie
- CSRF
- XSS
- Trusted Types
- HTTPヘッダ
- インジェクション
- パストラバーサル
Cookieって思ったより奥が深くて今もブラウザの挙動がそれぞれ違っているというところから、React 19でjavascript: URLが制限される話は嬉しいとか、アプリケーション側でパスを正規化するのでクラウドストレージでパストラバーサルできる話といった話をしました。 CSRFのところとかはもう少し丁寧に解説したほうがよかったのですが、他のボリュームが多くなってきて時間の都合で諦めました。とはいえ、トーク内容の中では参加者の方からそれは知らなかったと聞けた話もあったようで、そういった意味では小ネタを色々紹介できてよかったような気はします。
参加者の皆さん、スタッフの皆さんお疲れ様でした。また来年のYAPCでもお会いしましょう。
