高木浩光＠自宅の日記

■ IETFに行ってきた

先週はIETF 70に行ってきた。本業の件でプロジェクトメンバー達と。IETFに参加したのは今回が初めて。初日のレセプションではたくさんの日本人を見かけた。面識のない方々がほとんどだった。自分達が参加したHTTPの分野とTLSの分野では日本人はほとんどみかけなかった。ネットワーク系の人々が大半なのだろうか。

本業のことはここにはあまり書かないポリシーだが、少し書くと、行ってみて感じたことは、コミュニティの分断。

phishingの問題は日本の状況とは比較にならないほど英語圏では深刻なのだから、もっと皆、連携するなりして多方面から解決しようとしているのではないかと推測していたが、どうもそんな感じがしない。10月にAPWGに行ったときに感じたのは、APWGの人たちは技術による解決にはあまり関心がないようで、犯人達を分析することや被害者の行動を分析することに注視している様子だった。まあそれはそうかもしれん。我々のプロトコルとて全てのケースを解決するものではないわけで、それで取り残されるような人々も救うことがAPWG的関心事だろう。

一方、IETFではどうか。security areaの directorである Sam Hartmanが、draft-hartman-webauth-phishing を去年から書いているのをmailing listで見ていたので、IETFでも phishing解決をする機運があるのだろうと思っていたが、行ってみるとそれほどでもない感じだった。この draftは基本的に Sam Hartmanが一人でやっているという感じがした。HTTP関係者の間では、Webの認証方式がここ何年も進歩していないから何かしなきゃという機運はあるものの、それは、Digest認証が不完全なまま放置されている件をどうにかするかしないかとか、Webアプリケーションの認証がいい加減なのをどうにかするかしないかとか、そんなところが話題に挙がるものの、phisihingについてはUIの問題でプロトコル屋の範疇ではないという認識も少なくない様子だった。（ちなみに、Webアプリケーションの問題については、IETFでは扱いきれない話題でここで扱う話ではないという声も出ていた。それはそうであろう。議論のたたき台も、cookieの使い方のガイドラインといった、Webアプリケーションセキュリティの話としてはレベルの低い話しか出ていない。）

今回の流れで、phising防止の為という理由付けが各自の提案するプロトコルの錦の御旗になることから、各々が各々の持ちネタこそがphishing対策になると主張し始めた。たとえば、TLS WGの chairである Eric Rescorlaは、phishing対策には、TLS-PSK (RFC 4279) とか TLS-SRP (RFC 5054) でいいじゃないか（HTTPレイヤでやる意味がねえ）とか言う。最近では、TLS-EAP などという draftも出ている。それはそれで用途があるだろうけども、Webアプリケーションじゃ使えないよねというのが我々の考え。HTTPの人々とTLSの人々の間にも分断があるようにも感じた。さらには、Libertyの人が SAMLこそがphishingを解決するのだと言い出すし、SASLで解決するのが美しいなどという話も……。

我々としては論点は膨大にあるので、ちゃんと全部論文で書かないと伝え切れんなという認識を持って帰ることに。

その他、phishingに取り組んでいるコミュニティには、TIPPIとW3CのWeb security context WGがあるのを把握しているが、これらとIETFともあまり関係がない様子だった。

ちなみに、別件で大岩くんが活躍した。httpbis WGでは、HTTP/1.1のRFC 2616を改訂する議論が始まっていて、RFC 2616の曖昧なところや不都合なところを潰していこうという話なのだが、これはまさに、HTTP Request Smugglingの問題をRFCの改訂で解決できる機会だぞということで、大岩くんが意見を出していた。ここでもコミュニティの分断を感じる。脆弱性発見コミュニティの人たちはIETFには来ていないわけで。

月曜の夜には itojun氏を偲ぶ会が開かれていた。私はitojun氏とは面識がなく彼のWebサイトを見た記憶があるという程度の認識だったが、実は近々彼とお会いする計画があり、どんな方なのかと彼のWeb日記を読んでいた。その直後に訃報を知ったものだから、大きなショックを受けた。偲ぶ会にはたくさんの人たちが集まり部屋に入りきれないほどだった。村井先生から彼のIETFへの貢献の歴史が語られ、大事な人を失ってしまったのだなということがよくわかった。

Vancouverは、初日は雪だったが翌日からは雨になりさほど寒くはなかった。会場の向かいの角にBlue Tree Cafeという店があり、店頭のメニューに「Matcha Latte」とあったので、へー抹茶ラテも今や世界に通用するのかと思いきや、日本人経営の店だった。店員さんがいつも美人の日本人の方だったのが印象的。スモークサーモンのサンドイッチがうまかった。「Blue Tree」とは青木建設のことだとか。

右の写真は、帰りのAir Canadaの飛行機で、前のシートに付いているタッチパネル式のマルチメディア端末を適当にタップしていたら、contextメニューが出て、save dialogが出てしまった様子。なんとなくnew folderボタンを押したら、ルートディレクトリに新しいフォルダができてしまった。ディレクトリを辿ると、/etc/passwd を上書きできるような感じだったが、やめておいた。その上の写真は、泊まったホテルから見下ろした会場方面。