MITコース「コンピューターシステムのセキュリティ」。 講義11：Ur / Webプログラミング言語、パート1

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3



ニコライ・ゼルドヴィッチ：始めましょう！ そこで、今日はセキュアなWebアプリケーションを作成するためのまったく異なる基本的なアプローチについてお話します。 それは、Ur / Webと呼ばれるシステムについてです。 このシステムの著者であり、MITの教授であるゲストのAdam Chipalaが、彼が作成したシステムについて説明します。







Adam Chipala：できるだけ早くデモに参加したいです。 しかしその前に、このシステムの内容を説明するスライドをいくつか見せます。 おそらく、今日の講義のあらすじから、これに関するいくつかのアイデアを既に得ているでしょう。



それでは、Ur / Webとは何ですか？ トピックのタイトルの意味の説明から始めることは常に役立ちます。 Ur / Webは、主にWebアプリケーションを構築するためのプログラミング言語です。 これがWebの名前の由来です。 これは、Webアプリケーションを作成するために必要なすべてを行う一種の本格的なスタックシステムです。 Urは、これらのWeb機能の実装に使用される新しいユニバーサルプログラミング言語の略です。



Ur / Webのポイントは、汎用プログラミング言語、ライブラリ、および従来のフレームワークを使用してWebアプリケーションを作成する代わりに、これらすべてが既にカスタムUr / Webプログラミング言語に統合されていることです。 これは、実行時に解釈ではなくコンパイルを伴う言語です。 そして、コンパイラは、ある意味で、Webアプリケーションが何をすべきかを理解しています。 エラーがどこにあるかを理解しない通常のJavaコンパイラとは異なり、作成しているエラーを示します。



この言語を開発するときに使用しようとした3つの主な原則があります。特に、サーバー側でのスケーリングの効率、セキュリティ、およびパフォーマンスのプログラミングです。 このコンテキストでは、2番目が最も関連性があります。



ほとんどの場合、アプリケーションのユーザーはクライアント側のパフォーマンスの小さな問題に気づきませんが、サーバー側の小さな問題でさえ、必要以上に多くのサーバーを購入することができます。







現時点では、すでにUr / Webのユーザーが数人いますが、他のプログラミング言語を使用するユーザーほど多くはいません。 しかし、少なくともRSSリーダーであり、コメントの表示などのエキゾチックな機能をサポートする唯一の商用Webアプリケーションです。 また、今ではそのような名前を後悔しているネイティブスピーカーではない人が発明したURLもあります。 これは、BazQux Readerと呼ばれ、ハッカーコミュニティの戦術的なスキルを組み合わせたものです。 このアプリケーションにはすでに数千人の有料ユーザーがいます。 また、CSSで処理するよりも、対処する方がはるかに優れているようです。 これは、これがUr / Webを使用して実行できることの証明です。



いつでも質問で私を中断してください。ただし、質問の原因が何であるかはまだわかりません。 したがって、Ur / Webセールスの主な成功は、非常に高度なプログラミングモデルを持つことです。これは、以前の講義で知っていたDjangoとは大きく異なります。 そして、彼は良いセキュリティストーリーを持っています。



セキュリティのために必要な機能の一部はすでにシステムに統合されているため、プログラムの安全性を確保するために一生懸命働く必要はありません。 これについては、近いうちに詳しく説明します。



さらに、この言語は、より一般的なWebアプリケーション作成ツールと比較しても、サーバー側で高いパフォーマンスを提供します。既に聞いたことがあると思います。 注意点は、おそらくUr / Webを使用する前に、Haskellなどの関数型プログラミング言語のアイデアをもっと学ぶ必要があるということです。



このレッスンの質問と回答を見て、約5分の1の学生が、プログラミングの機能部分が完了しにくいと不満を述べました。 申し訳ありませんが、関数型プログラミングの世界には非常に多くの優れたアイデアがあり、その瞬間から始めて、より複雑なものを徐々に追加するのは難しいでしょう。 しかし、私が今日お話しする資料の厳密な知識を要求しないようにします。



したがって、このプログラミングモデルは、実際には静的型付けと密接に関連しています。 そしてこれは、比較的表現力に欠ける不器用な型システムを持つJava言語のような単なる静的型付けではなく、HaskellやApache Camelで使用されるものに似た静的型付けです。 このタイピングは、コンパイラがあなたが何をしているかを理解し、プログラムのエラーをキャッチする1つの方法です。







Ur / Webが構築される主要なUr言語には、静的型付けの非常に表現力豊かなシステムがあります。 Ur / Webが行うことの多くは、実際には、特別なコンパイラサポートのないライブラリによって提供されます。 たとえば、コンパイラにSQLを入力するためのルールを作成せずに、SQLクエリのタイプをチェックする方法をコンパイラに教えました。 ライブラリとしてエンコードし、標準タイプの検証を使用して、SQLクエリがSQLルールに従っていることを確認できます。



このコンテキストで最も重要なのは、高レベルのセキュリティを確保することです。最も一般的なセキュリティの脆弱性のほとんどは、Ur / Webでプログラミングする場合は不可能です。 悪意のあるコードインジェクション攻撃やクロスサイトスクリプティング攻撃に永遠に別れを告げることができます。 誰かのインターフェースの機能を使用して何らかの「ブラックマジック」を実際に引き起こしたとしても、恐ろしいフラグの名前を使用して、Webアプリケーションで実行できる最も恐ろしいことを実行できます。



後で説明するセキュリティ固有のプロパティがいくつかあります。 パフォーマンスも非常に良いです。 コンパイラは、主にドメインのソースコードを作成するために最適化されており、Cで手書きされたコードよりもはるかに生産的です。



したがって、彼はWebアプリケーションが何をしているのかを理解し、従来の一般的な型コンパイラでは「キャッチ」されないことを最適化できます。 したがって、サーバー上で実行されるこのコンパイラーによって生成されたソースコードは、Cコードと正常に競合します。パフォーマンスを確保するためのコストと他の言語でのプログラミングの人件費を比較すると、Ur / Webはプログラマーの生活を大幅に簡素化することがわかります。



次のスライドは、このサードパーティのWebインフラストラクチャフレームワークのパフォーマンスの簡単なベンチマークを示しています。



これは、さまざまなフレームワークによってさまざまなWebプログラミングタスクが実行された最後のテストの結果のスクリーンショットです。







Ur / Webは、パフォーマンステストに参加した60のフレームワークのうち4位になったことがわかります。 このスクリーンショットが撮られた後、コンパイラにいくつかの改良が加えられました。 したがって、次のラウンドでは、彼の結果によると、彼は少し上に上がると予想しています。 基本的に、これはSQLを使用してHTMLページを生成する簡単な例です。 Ur / Webサーバーから毎秒約100,000のリクエストを受信しますが、これはほとんどのアプリケーションで十分です。 このスライドは、より一般的なフレームワークのパフォーマンスをわずかに失うことでセキュリティを強化する高レベルモデルを使用できることを示すことが重要です。



そこで、今日のプログラマーが最も一般的なフレームワークを使用してWebアプリケーションを作成することについて考える私の印象を反映した写真から始めましょう。 次に、Ur / Webが提供する別の視点を示します。これにより、このフレームワークではエラーが発生する可能性のある多くの問題がエラーなしで進行します。



メイン画像は、アプリケーションのプロセス全体が依存するWebサーバーです。 そして、このサーバーとやり取りするブラウザの全体があります。 サーバーは特定の状態のままになり、これらすべてのブラウザーとの対話が保証されます。



通常の状況では、ブラウザはWebサーバーにHTTPリクエストを送信してWebサーバーとの対話を開始します。HTTPリクエストには、URLが組み込まれています。 その後、WebサーバーはHTTPおよびHTMLページをブラウザーに送り返します。 ただし、Webサーバーが今後どのような要求を行う必要があるかを判断するために使用できる組み込みのURLがいくつかあります。







このWebサーバーは、アプリケーションのすべてのユーザーに共通の永続ストレージを提供するデータベースとも通信できます。 この場合、サーバーネットワークとデータベース間の会話には、一般的なSQLプロトコルが使用されます。 それが、Ur / Webの機能について議論するときに話すことです。







最新のWebアプリケーションは、ただのインスタントページではありません。 ページ上で何かが変更されるたびに、サーバーに新しいリクエストを作成します。その後、モジュールのページ全体が置き換えられます。 AJAXスタイルがあり、ブラウザは1ページの表示中にWebサーバーに追加のHTTP要求を送信し、ユーザープログラムによって処理される応答を受信する場合があります。 これは通常、XMLやJSONなどのデータ表現、およびクライアントとサーバー間でデータを交換するための他の単純な形式を使用します。







次に、ブラウザがこの回答を返すと、ユーザーに表示されるユーザーインターフェイスを制御するための任意のロジックを実装するJavaScriptコードがあります。







このJavaScriptコードは、サーバーがさまざまなAJAX呼び出しに与える応答を読み取ることができます。 次に、主にページに設定されているグローバルDOM変数を変更することで表示されるページを変更できます。 プログラムのどの部分でも、このグローバル変数、つまりページに任意に影響を与えることができます。 多くの場合、ページの一部は、ドキュメントを記述するツリーのノードによって注釈が付けられた文字列IDによってスキャンされます。



最後に、もう1つの複雑な点は、Webサーバーがリクエストなしでブラウザーと通信することを望む場合があることです。 新しい電子メールメッセージが表示され、Webサーバーがこの新しいメッセージについてブラウザに通知したいとします。







そして、これを行うための多くの方法があります。たとえば、Comet-一定のHTTP接続により、Webサーバーがブラウザーからの追加要求なしにブラウザーにデータを送信できるWebアプリケーションのモデル、またはブラウザーとサーバー間で通信するWebSockets二重プロトコルリアルタイムで。 原則として、これらは同じものですが、概念的には異なる方向にあります。



そのため、これらのすべてのプロトコルと言語を画面に戻したいと思います。以前は黄色で一部を選択していました。 講義ノートを読んだ後、セキュリティの点でこれらの強調表示されたすべての部分に共通することは誰でも推測しましたか？







学生：それらはすべて、何でも配置できる行です。



教授：正しく、Webアプリケーションのプログラミングに対する一般に受け入れられているアプローチでは、これらすべては文字列です。 また、プログラミング言語はそれらの使用方法を理解していないため、ミスを避けるのに役立ちません。 したがって、たとえば、これらのものを文字列として提示すると、コードインジェクション攻撃を受けます。 私が知る限り、コードインジェクション攻撃は、主にプログラミング言語またはフレームワークにプリミティブとして、表現力のある言語でテキストの形式でプログラムを起動する特定の機能を含めることの結果です。



プログラムとして文字列を実行するためのUr / Webには組み込みのインタープリターはありません。 そしてこれにより、最も一般的なWebアプリケーションエラーの多くが構造的に不可能になります。 したがって、これらの選択されたオブジェクトはすべて非表示になるか、特別なタイプで表されるため、どのコードを扱っているかが明確になります。 ただし、これらの特殊なタイプの文字列への自動キャストはありません。



スライドは、Ur / Webが提供し、従来のモデルにコンパイルされる代替モデルを示しています。 これは、すべての一般的なブラウザでの動作です。 しかし、プログラマーはそれをより高いレベルで考え、前の図で起こりうる潜在的なエラーを回避できます。







したがって、リクエストに応答するWebサーバーがまだあります。 そして、Webサーバーを使用しようとしているこのブラウザー群がまだあります。 ただし、最初の重要な違いは、ブラウザーがWebアプリケーションの使用を開始するときに、URLを含むHTTP要求のストリングを送信するだけではないことです。



クライアント呼び出しを伴うことなく、サーバー上で最初のクラスの関数を実行します。 そして、サーバーはHTTPプロトコルのテキスト文字列だけでなく、厳密に型指定されたドキュメントツリーで応答します。 したがって、HTML文字列の代わりに、プログラミング言語のツリーが、最初のクラスのオブジェクトになります。 また、プログラムは文字列ではなく、この特定のツリーを操作します。



これらのツリーにはそれぞれリンクが含まれており、それ自体はサーバーで呼び出すことができる他の機能の脚注にすぎません。 ユーザーがこれらのリンクをクリックすると、ブラウザーは関数を選択し、このポイントに到達するために呼び出した元の関数として概念的にサーバーで呼び出します。



また、データベースにリクエストを送信するWebサーバーがアクセスするデータベースインターフェイスもあります。 Ur / Webモデルでは、これは単なるテキストではなく、厳密に型指定されたSQL構文ツリーです。 そして、データベースはテキストではなく、Urプログラミング言語の固有値のレコードのリストで応答します。







したがって、文字列を誤って「ネイティブ」表現に変換したり、「ネイティブ」表現をデータベースが従来提供していた他の形式に変換したりすることを心配する必要はありません。



これは、Ur / Webセマンティクスが、アプリケーションの実行中に実際に発生する可能性のある多くのスクリプトをプログラマが簡単に操作できるようにするための重要な要素です。

リレーショナルデータベースの世界には、他の並列スレッドで中断することなく一連の操作を実行できる標準的なトランザクションのアイデアがあります。 そして、Ur / Webはこのモデルを適応させ、言語のセマンティクスに組み込みます。 したがって、クライアントに代わってサーバーで1つの機能を実行すると、データベースへのすべてのアクセスはアトミックブロックの形式で行われ、同じサーバーに対する他のすべての同時リクエストによって中断されることはありません。 これらのトランザクションはプログラミング言語に組み込まれているため、必要な場合でもこの動作を避けることはできません。



また、同時リクエストの実行が本当に簡単になり、リクエストの特定の組み合わせに何らかの変更がある場合に発生するセキュリティ上の問題を回避できる可能性があります。



この講義の要約で示され、興味をそそられた質問の1つに対する回答を取得したいと思います。 したがって、Ur / Webは、デッドエンドなどの並列実行の問題が原因でトランザクションが失敗したことを検出し、トランザクションを自動的に再開します。 誰かが質問に答えて、これが並行性の問題によるトランザクションの失敗に依存するセキュリティ攻撃の開始を促進できると書いています。 クラスに聞いてみたかったのですが、あなたが想像するように、誰かがそのような攻撃の例を挙げることができますか？ デッドロック状態のトランザクションを自動的に再起動するシステムがある場合、これはどのようにセキュリティ上の問題を引き起こす可能性がありますか？ この質問には答えがありません。だから私は尋ねます。 この質問には明白な答えがあり、明らかに議論する価値があります。







学生：たぶんこれは何らかのDoSサービスの失敗を引き起こす可能性がありますか？ 彼があなたが送信しているトランザクションを再開しようとしていて、それが成功しないことがわかっている場合、単にこのプロセスを再開し、再試行することができます...



教授： OK、続けて...



学生：決して成功しないとわかっていることをシステムに強制する場合、何度も試行して、最終的にサービスを失敗させることができます。



教授：そうですね。しかし、これを行うには、少なくとも2つのスレッドが同時に動作する必要があります。 これは機能する可能性がありますが、サービス拒否攻撃を仕掛けることができる場合があります。 この場合、要求ハンドラーが何度も何度も再起動され、意図的に競合を引き起こすという事実を利用し、このタイプの従来の攻撃モデルの助けを借りて得られるものに加えて、DoS攻撃の力を高める方法としてこれを使用できます。 まあ、私はそれを信じることができます。



学生：これがトランザクションの失敗を引き起こす唯一の方法ですか？



教授：はい、これがクラッシュと自動再起動を引き起こす唯一の方法です。



学生：条件付きで失敗するサードパーティが存在する可能性があります。 次に、これを使用して、他のユーザーの動作を監視できます。



: , - , - . . , , , . , . , , , . .







: , , , . , ?



: , , , .



: , , , ? , .



: , , . , .



: , , , , , ?



: , , , , , ? , – , . . , , .



: , , ?



: , , . , , , . , – .



, -. AJAX, .







, . , . , - .







, . , .



, Ur/Web , . — , . , , . — , , .



— , , , . , , , .



. Ur/Web- Ur/Web-. JavaScript, . , . .



, , . , . , , , . , , , .







. , , , , , . . , , JavaScript.



JavaScript , , , JavaScript .



, , Ur/Web- — . , , , . JSON. .







, , . , . . - .



, , , , . : «, », . «» .







, . , ?



: , ?



: RPC , . , .



— , . , , .



: ?



: HTTP-. , - , , , HTTP .

, , . . , Ur/Web. , .







, . , , URL- URL-. . , URL.



URL . - , URL. , HTML . HTML. , XML-, , .



- , . HTML- , .







, , . , , UTF-8. , .



, UTF-8, . - , Tangled Web ( ), Ur/Web, , .



ちなみに、このデモンストレーション中はいつでも、思い浮かぶ実験を提案してください。どのようなエラーをキャッチできるかをシステムで試すことができます。



これは、Ur / Webの機能を実証する最も生産的な方法だと思います。



27:45分



MITコース「コンピューターシステムのセキュリティ」。 レクチャー11：Ur / Webプログラミング言語、パート2





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推奨することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークな類似品のHabrユーザーのために30％割引： VPS（KVM）E5-2650 v4（6 Cores）10GB DDR4 240GB SSD 1Gbpsについて20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャの構築方法について読む クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？