MITコース「コンピューターシステムのセキュリティ」。 講義11：Ur / Webプログラミング言語、パート3

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3



最後に行う必要があることは、前の例のように、そこにルームモジュールを指定してこのコードを変更し、ルームテーブルにアクセスしてみることです。 これは許可されていないため、このオプションは許可されていません。







これは、Javaでプライベートクラスフィールドを読み書きできるようなものです。 実際、基本的にここには無関係な変数、部屋パラメータの不明な式があるという、かなり単純なメッセージが表示されます。







このアドオンモジュールは、楽しみのために作成したものです。







しかし、それは異なるテーブルになります。 簡単にアクセスできます。 したがって、これを2つの部分に分割し、単にroomメソッドを呼び出すことから始め、次に少し異なることを行って要素を読み取ります。







結果のリストを表示します。逆の場合も同様です。これは、さまざまなタイプのデータを使用することを除いて、以前のプログラムの動作とほぼ同じです。 これが何をもたらすのか見てみましょう。 次に、ルーム1のチャットに戻り、メッセージを行に入力します。 エラーなしですべて表示されることがわかります。







つまり、このカプセル化が行われたため、この部屋の構造をライブラリと考えることができますが、心配する必要はありません。



システムの内部不変性を損なう可能性のあるさまざまな場所があります。 メッセージを追加した後、メッセージが消えないようにしたい場合があります。 これはすべて雑誌に載っています。 この構造は、チャットルームモジュールが記述されているコードなど、他のコードとは独立して、そのようなプロパティを提供します。



学生：部屋の定義を変更したので、この場合データベーステーブルはどうなりますか？



教授：古いデータを保持する場合は、alter tableコマンドを手動で実行する必要があります。 ただし、アプリケーションが起動すると、システムデータベースディレクトリにクエリを実行し、スキーマが期待どおりであることを確認します。 その後、静的エラーが発生します。 これがデータベースで何を変更すべきかを知る手がかりになることを願っています。



学生：しかし、データベースなどは自動的に削除されませんか？



教授：そうではないことを願っています。 コンパイラがこれを行うべきではないと思います。 データベースの進化を理解するためにコンパイラをカスタマイズすることを想像できます。 コンパイラは現在これを行っていないため、起動するにはalter tableコマンドを記述する必要があると思います。







次に、クロスサイトリクエストフォージェリとその防止について説明します。 実際、これを行う前に、このページのコードを見てみましょう。 ここで生成される従来のHTMLフォームがあります。 そして、もちろん、クロスサイトリクエストフォージェリに対する保護はありません。これは良いことだと思います。 私が理解しているように、クロスサイトリクエストを偽造する問題は、アプリケーションがリクエストごとに送信する暗黙的なコンテキストだからです。



暗黙のコンテキストを知らない攻撃者がいるとします。 非常に簡単な例として、パスワードがCookieに保存されているとします。 そして、攻撃者が必要なアプリケーションへのリンクをクリックしたときにあなたを欺くと、ブラウザは暗黙のコンテキストを自動的に送信し、攻撃者が直接行えなかったことをアプリケーションに強制します。







この場合、暗黙的なコンテキストは存在しないため、クロスサイトリクエストを偽造するリスクはありません。 続行する前に、システムのこの機能に挑戦したい人はいますか？ それは私にとって非常に有益です。 そうでない場合は、ここに暗黙的なコンテキストを追加します。 この場合、システムはプログラムの分析に基づいて自動的に適切な対策を講じます。これにより、暗黙的なコンテキストが存在することがわかります。



ここにCookieを挿入します。 モジュールのカプセル化の別の例として、実際には、ユーザーアカウントと抽象的なタイプの識別子とパスワードを持つユーザー認証システム全体をここに配置します。 したがって、これらのデータ型の値を単純に直接作成することはできません。 これらのタイプの値を構築するための承認された方法を実行する必要があります。



署名にテーブルを配置します。 また、そのキーはIDフォームであると言って、制限を課します。







しかし、実際には、このユーザーテーブルでは、IDとパスワードは抽象データ型です。 したがって、コードはパスワードを見ることができず、すべての識別子を一貫して生成して、この表でそれらを試すことはできません。 抽象型を使用しているため、IDがどのように見えるかを確立することは不可能であり、パスワードを取得することは不可能です。 これらはこのテーブルから取得したもので、これらは不透明なトークンです。



ただし、入力を許可することもできます。 文字列とこれらの型の間で一方向の変換を許可したい場合があります。 ここで、主に詳細を説明しますが、説明はしません。 ただし、これは、文字列をIDに変換することができるという宣言に似ています。 Haskellに精通している人にとっては、これはインスタントタイプクラスであり、文字列をIDに変換するこの許可です。







IDを別のものに戻すことができないため、別のアクセス許可を適用するつもりはありません。 パスワードについても同じことをしましょう。 ユーザーのパスワードを読み取れるようにしますが、パスワードを受け入れて、ユーザーがチャットに入ったことを知らせる文字列に変換することはしません。



したがって、コードの他の部分は、ユーザーからパスワードを受け入れ、このタイプに変換し、検証のためにユーザーモジュールに転送できます。 ただし、ユーザーテーブルにクエリを実行し、テキスト式を抽出できるフォームですべてのパスワードを取得することはできません。



次に、これら2つのコンポーネント（IDとパスワード）を受け入れ、副作用として機能するログインメソッドを作成できます。これは実際にコードに記載されています。 また、登録されているユーザーを見つける方法も必要です。 これは、IDを作成するトランザクションを実行するコードです。







最初のステップは、この定義を単純にコピーすることです。 そして、驚きがあります。 ユーザーIDとパスワードは文字列ですが、この状況はモジュールの外部には公開されません。







次に、Cookieを作成します。 Cookieは、言語に組み込まれているもう1つの要素です。 実際、これらはアプリケーションを使用するクライアントごとに1つのコピーを持つ可変グローバル変数として機能します。



したがって、各ユーザーに対して、ここにある同じ2つのフィールドのコピーを単純に保存するCookieを作成します。







これらのCookieはこのモジュール専用です。 コードの他の部分は、このプライベートフィールドがないため、Cookieを読み取ることができません。 そのため、このユーザー用に保存されたIDとパスワードを誰も直接見ることはできません。 ただし、通常のCookieの場合のように、さまざまなページを表示するときに保存されます。



ログイン関数を挿入します。これにより、データベースをチェックし、これが本当にユーザー名とパスワードの正しいペアであるかどうかを確認するプロセスが開始されます。 このプロセスは、このユーザーIDとパスワードを含むデータベース内の行を見つけることができるかどうかを確認するだけです。



それが見つかった場合、それは良いことです、それは正しい意味です。 これをクッキーに保存しましょう。 Cookieの値を変更するメソッドを使用します。 そして、ここではいくつかのことをしなければなりません。簡単にするために、このCookieには有効期限はありません。 ここではSSLを実行したくないので、この場合はセキュリティは不要であり、パラメーターをSecure = falseに設定します。



しかし、本当にセキュリティに関心があるなら、明らかにSecure = trueと書きます。 チェックが失敗し、モジュールがエラーを通知すると、プログラムは停止し、このエラーの説明が表示されます。







最後に、現在のCookie値を受信することにより、ログインしている特定のユーザーを通知するこの関数を作成できます。 ユーザーがまだログインしていない場合、このパラメーターをnoneに設定することもできます。その場合、別のエラーメッセージが表示されます。 または、上記で使用した正確なタイプのレコードのようなものである可能性があります。 ここにコピーして、同じチェックを実行します。 これが機能する場合、データベースでチェックしたばかりのIDレコードのその部分を返すだけです。







これを確認してみましょう。 コンパイラを起動すると、画面に結果が表示されます。







これらすべての実装の詳細の中心。 ただし、このモジュールの外側では、インターフェイスの観点から考えます。 不明なタイプのIDとパスワードがいくつかあります。 このユーザーテーブルは、文字列を識別子とパスワードに変換できる用語を表しますが、その逆はできません。 最初にログインを入力するこれらの2つの方法があり、この段階でログインしているユーザーを確認します。 これについて質問がありますか？



学生：ユーザーテーブルを拡張する必要がありますか？



教授：後で外部キーとして使用するため、これを行います。したがって、これは重要な理由ではありません。 ですから、私たちはCSRF保護が実際に機能していることをお見せできます。



まず、システムへのログインは非常に簡単です。 さて、プログラムのこの時点で他に何ができますか？ ここで、ログインを入力する場所であるというページの別の部分を追加してみましょう。 ここで、ユーザー名とパスワードを入力し、アクション送信ボタンをクリックする必要があります。 このアクションは、ログイン機能への呼び出しを提供します。







ログインをこれらのことを行う関数として定義しましょう。 実際、このモジュールからログイン関数を呼び出すための単なるラッパーであり、各コンポーネントを取得して、文字列から抽象型に変換します。







彼女は読み取りエラーをチェックします。 このエラーは、ログインが機能しない場合、この時点で操作が中断され、関数がプログラムの主要部分に戻ることを意味します。

これでログインできます。 おそらくログインできるアカウントを作成したいので、ユーザー名aとパスワードaを持つユーザーを作成します。











これで、ユーザーaとしてログインできるようになりました。 この情報を記録するための一連のCookieがあるので、チャットルームに移動して、asfasfなどのメッセージを送信しましょう。 [追加]ボタンをクリックすると、チャットに表示されます。







実際、ここにはアクセス制御を追加していないため、ここでは特別なことは何も起こりません。 しかし、確認できます。







ここにはCookieがありますが、システムはCookieを使用しないと判断しました。 このフォームを送信すると、Cookieは読み取れません。 したがって、ここまでCSRF保護を追加する必要はありません。 そのため、Cookieを使用する方法を追加し、保護がどのように現れるかを確認する必要があります。



学生： Cookieコンテンツとは何ですか？



教授：これは、コードから受け取る予定のコンテンツです。 言い換えると、Cookieはこのレコードのタイプ（識別子とパスワード）を持つものとして宣言されます。







したがって、これは特定のシリアライズされた形式に含まれているものです。 それでは、実際にCookieを使用してみましょう。 Cookieを間接的に使用するという事実にもかかわらず、これを確認する必要があります。これは、Cookieとは関係ないルームモジュールで使用するためです。 ただし、Cookieの使用に間接的に関連するカスタムモジュールメソッドを呼び出します。 そして、システムはこれが私たちがそれに依存していることを意味することを理解します。



それで、とても簡単にそれをして、whoamiメソッドを呼び出しましょう。 実際、私はそれを無視するか、その逆に、彼に何かをさせます。 作成したユーザーが本当に特別であり、このユーザーのみが何かを投稿できると決めましょう。 そうでない場合は、エラーメッセージが表示されます。







ユーザーモジュールにIDを追加します。IDタイプは等価チェックをサポートしているため、これは機能します。







これですべてが整い、このIDを使用してさらに多くのことができるようになり、セキュリティ上の問題が発生する可能性があります。







これにより、アクセス制御チェックを追加できるようになったので、どのように機能するかを確認してメインページに戻りましょう。







これで、これら4つの文字「a」がチャットに表示されました。



インターフェイスコンソールで、フォームがすべてのCookieの値の暗号署名である非表示の入力名sigを自動的に受信したことがわかります。 このsigは、サーバーに秘密のキーを使用してCookieに署名しました。 そして、フォームの準備が整うと、アプリケーションは-コンパイラがこれについて伝えたので-アプリケーションが次の一連の操作のために署名をチェックする必要があることを認識します。 このために、say操作があります。







学生：署名には一種のタイムスタンプがありますか？



教授：いいえ、署名にはタイムスタンプがありません。



学生：この場合、攻撃者がこのデータを「スパイ」した場合、これらのCookieは期限切れにならないため、ユーザーになりすますことができます。



教授：はい、期限切れになることはありません。 これは、アプリケーションを変更せずに言語実装を変更するだけで変更でき、その後すぐに展開できます。 しかし今、これはここにありません。 そして、なぜこれが追加に役立つのか理解しています。



学生：署名にタイムスタンプを付けるだけでこれを修正することもできます。



教授：はい、その通りです。Cookieデータを頻繁に意図的に変更するように、つまり署名の有効期限が切れるように、アプリケーションを変更できます。

学生： URLを再割り当てできますか？



教授：はい、どのような再割り当てを望みますか？



学生：どれでも、これがどのように行われるかを見たいだけです。



教授：それで、コンパイラーが割り当てます...ご覧のとおり 、say関数を呼び出しました。この関数呼び出しは、特定の形式のURLとしてシリアル化されます。 このフォームが気に入らないとします。







ルームモジュール内、デモ内で、いわばURLを書き換えることにしました。 より良く貼り付けてください。 したがって、URL Demo / Roomを再割り当てし、Demo / Room / Speakに言います。







コンパイラを起動して、アプリケーションのメイン画面に移動します。 何が起こるか見てみましょう。 すべて順調です。テキストメッセージを入力することもでき、それらはチャット行に表示されます。 これらのルールでは、予測不能な文字を使用して、あるプレフィックスを別のプレフィックスに置き換えることができ、コンパイラーは各関数に個別のURLスキームがあることを保証しますが、URLはデフォルトで自動的に生成されます。



学生： HTMLはコンパイラに固有のものではなく、単なるライブラリであるとおっしゃいました。 他の形式のライブラリは他にありますか？



教授：同じ機能の完全性を持つ型をチェックしないライブラリは他にもありますが、たとえば、JSONをシリアル化および逆シリアル化するためのライブラリ、および型構造を管理する多数の自動化された方法があります。 このようにして、コンパイラに統合されていないことを実行できます。



学生：たとえば、ページ上のいくつかのものをアニメーション化するために、まだJavaScriptで記述したいとします...



教授：あなたの質問に答えるこのAjaxバージョンをダウンロードさせてください。 このバージョンにはクライアント側のコードがあります。 demo3と呼ばれるプログラムのバージョンに移りましょう。 メインページのチャット行にデータを入力すると、チャットの下部にも表示されました。 信じられないかもしれませんが、今回はアドインがAjax呼び出しを使用して機能しました。 これは、ボタンタグボタンの値が原因です。 これにはonclick属性があり、ユーザーがボタンをクリックすると、この属性を持つ行の下にあるこのコードはすべてクライアント側で機能します。



]



しかし、これはUr / Webコードであり、JavaScriptコードではありません。 コンパイラーはこれをJavaScriptに変換し、ユーザーがブラウザーで手動で変更したくない場合、リストに抽象化に必要なプロパティを保存するようにします。



学生：今日、すべてを自分で再コーディングしたい場合、便利なこと、多くの場合複雑なことを行うライブラリがたくさんあると思います。 Ur / WebのJavaScriptとやり取りする方法はありますか？



教授：はい、JavaScript関数の名前と呼び出しにUr / Web関数名を付けることができる外部関数インターフェイスがあります。 ただし、外部関数インターフェイスを使用すると、これらの便利な構築関数をすべて使用できなくなります。 この場合、非常に注意する必要があります。



これらの抽象化の一部は、それらを妨げないように実装を理解する必要があります。 私がこのコードを持っている限り、私はあなたに何か他のものを見せさせてください。



以前と同じsay関数がまだあります。 しかし、今では、参照によって呼び出すのではなく、onclickハンドラーのコンテキストからの引数が設定された関数呼び出しを使用します。







この関数をrpc構文内にラップするだけです。 つまり、これはクライアント側の呼び出し関数ですが、呼び出し自体はデータベースおよびその他のサーバーリソースにアクセスできるサーバーで起動され、結果がここに返されます。



また、コールバックを必要としない単純なスタイルで記述されており、通常はリモートサーバーを呼び出すためにJavaScriptで使用する必要があります。

, . , , , .







, , , . , , .



, - , . GUI , , , , .



, , , . , DOM. , , .







, GUI, , , , .



, , .



: ?



: , , . , - .



: . , ?







: — . , . , , . , .



:なぜあなたはあなたの言語にそのような名前を選んだのですか-ウル？



教授： Urは言語学の概念であり、現代言語の祖先である言語の名前です。そして、この言語では、この言語を使用して、あらゆる種類の他の言語をその言語内に挿入できます。したがって、これはすべての言語の一種です。





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推奨することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークな類似品のHabrユーザーのために30％割引： VPS（KVM）E5-2650 v4（6 Cores）10GB DDR4 240GB SSD 1Gbpsについて20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャの構築方法について読む クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？