XSSとCSRFへの対策

あまり変わったことはしていませんが、JWT Tokenの保存先問題は、TokenをHTTP-OnlyのCookieに保存しつつ、Token+秘密のSALTのハッシュ値をJavaScriptに渡して、それをAuthorization: bearerにつけて送信させる事にしました*7。

• XSSでTokenが流出する可能性が低くなる（HTTP-OnlyなのでJavaScriptから読めない）
• Authorizationヘッダーを使うので、CSRFで攻撃される可能性が無くなる
• Tokenが流出しても、ハッシュ値が生成できないので悪用できない（Tokenはアプリごとに異なる）

ので、CookieeにTokenを入れたままでもほぼ安全になります。SHA256を突破してくる猛者がいるかもしれませんが、新宿でツキノワグマと遭遇するぐらいの確率なのであきらめましょう。

TLS（SSL）への対応

コード整理のついでにTLS（SSLの後継規格）に対応しました。

パスとファイル名と形式が決め打ちですが、秘密鍵（cert/key.pem）と対応する証明書（cert/cert.pem）を用意して、

CLIENT_PROTOCOL=https cargo run

と起動するとhttpsのサービスになります。Keycloakの設定のValid redirect URIsも修正がいるので御注意ください。

called `Result::unwrap()` on an `Err` value: Custom { kind: Other, error: InvalidCertificate(Other(OtherError(UnsupportedCertVersion))) }

openssl x509 -in cert/cert.pem -text -noout | head

Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number:

残作業

PKCEに対応していないので*8、Keycloakの運用方針によっては問題が出ます。これは利用しているクレートが対応しているので、6０行ぐらいで対応版がつくれます*9。PKCE_METHOD=S256 cargo runと言うように、環境変数でS256を指定して動くようにしました。

ログアウト処理がやや強引なので、可能ならば改善したいです。

バイナリーサイズ

デバッグ用の実行ファイルは101,436KB（→ TSL対応版129,748KB）で、リリース用のは3,268KB（→ TSL対応版6,172KB）でした。

ソースコード

2ファイル構成です。

package main

import (
	"github.com/gin-gonic/gin"
)

func main() {
	r := gin.Default()
	r.StaticFile("/", "index.html")
	r.GET("/api", func(c *gin.Context) {
		params := c.Request.URL.Query()
		if 0 >= len(params) {
			c.JSON(200, gin.H{
				"usage": "Please add parameters such as ?a=1 to query!",
			})
		} else {
			c.JSON(200, params)
		}
	})
	r.Run(":8080")
}

<!DOCTYPE html>
<html>
<head>
<title>Echo</title>
</head>
<body>
<form action="./api">
<div>key: <input name = "key" value = "value"></div>
<div><input type = "submit" value = "click me!"></div>
</form>
</body>
</html>

Ginがパラメーターをmap型（連想配列; ハッシュ配列）にしてくれ、map型をJSONにしてくれるので、ほとんど何もしなくてよいです。ビジネスロジックとして、インプットがmap型で、アウトプットがmap型の関数をつくれば、組み合わせて、もう少し役立ちそうなものになります。環境変数から各種設定の取得やデータベースへの接続と総裁、あとはOAuthかOpenIDとJWTを使った認証を実装しておきたいところですが、後日に回します。

コンパイル

go run echo.goでコンパイルと実行をしてくれるのですが、コンテナ化のためにスリムな実行ファイルをつくります。

SRC=echo.go
DST=echo.exe
# -a -installsuffix cgo
CGO_ENABLED=0 GOOS=linux GOARCH=amd64 go build -ldflags "-s -w" -o $DST $SRC

CGO_ENABLED=0で、C拡張を使わない事を明示的に宣言します。C拡張を入れるとコンテナイメージをつくるときに、DLLを多数含める必要が出てきます。
GOOS=linux GOARCH=amd64で、Intel互換（というかamd64）互換プロセッサのLinuxシステムだと明示します。AWSで運用するときは、arm64のインスタンスの方が安くて速いそうで、GOARCH=arm64にすることになります。
d;ldflags "-s -w"はデバッグ情報を全削除するというおまじないです。実行ファイルがスリムになります。

コンテナ実行

環境変数GOMEMLIMITを指定しておくと、Goのメモリー利用量がそれ以下になるように、ガーベッジコレクターが動きます。厳密に指定容量以下で動くわけではないですが、パブリッククラウドに乗せるときに役立つでしょう。

podman run -e GOMEMLIMIT=100MiB -d -p 18080:8080 echo-go-app

コンテナーのTCP8080番を、ホストのTCP18080番につなぎます。ブラウザーでhttp://localhost:18080/にアクセスして、動作確認します。

エクスポート

コンテナイメージをファイルにしたい場合は、以下のように出力できます。

podman save echo-go-app > echo-go-app.tar

データセット

データセットを作成します。

set.seed(1002)
T <- 4
N <- 30
coef_DGP <- c(1, -2)
df01 <- genPanelData(N, T, coef = coef_DGP, type = "fegls")

plmパッケージによる推定

固定効果モデル（within）とFE-GLSをそれぞれ推定し、比較します。クラスター頑強標準誤差も並べましょう。

FE-GLSはpggls関数で推定できます。

frml <- y ~ x + z

library(plm)
r_plm <- plm(frml, effect = "individual", model = "within", index = "id", data = df01)
r_pggls <- pggls(frml, data = df01, effect = "individual", model = "within", index = "id")
(CMP.beta <- matrix(c(coef_DGP, coef(r_plm), coef(r_pggls)), 2, 3, dimnames = list(names(coef(r_plm)), c("DGP/True", "within", "FE-GLS"))))
(CMP.se <- matrix(c(
    sqrt(diag(vcov(r_plm))),
    sqrt(diag(vcovHC(r_plm, type = 'HC0', cluster = "group"))), # cluster = "group"とtype = 'HC0'で、CR₀になる
    sqrt(diag(vcovHC(r_plm, type = 'sss', cluster = "group"))),
    sqrt(diag(vcovHC(r_plm, type = 'HC2', cluster = "group"))),
    sqrt(diag(vcovHC(r_plm, type = 'HC3', cluster = "group"))),
    sqrt(diag(vcov(r_pggls)))
    ), 2, 6, dimnames = list(names(coef(r_plm)), c("FE(within)", "HC0", "Stata-Like", "HC2", "HC3", "FEGLS"))))

  DGP/True    within    FE-GLS
x        1  1.295708  1.200888
z       -2 -2.337620 -2.195275

  FE(within)       HC0 Stata-Like       HC2       HC3     FEGLS
x  0.1835463 0.2405331  0.2456795 0.2438253 0.2471791 0.1665037
z  0.1889271 0.1653435  0.1688812 0.1679483 0.1706144 0.1618677

表記はplmパッケージにあわせてHCにしていますが、計算はCRです*2。

今回は、FEGLSの方がより真の係数に近い推定量を出し、また標準誤差も小さくなっています。

ただし、set.seedをコメントアウトして何回も試してもらうとわかりますが、FEの方がよい推定量になっている事も多いです。系列相関の影響は固定効果の推定量に吸収されているわけで、改善余地はそんなに無いのでしょう。

行列計算による推定

plmパッケージの挙動を再現してみましょう。ただし、plm::pgglsでは疎行列をサポートするbdsmatrixパッケージを利用していましたが、密行列としてコレスキー分解で凌ぎます。単純に逆行列を求めないのは、特異値になるからです。

df_sorted <- df01
# Wooldridge (2002) §10.5の説明通りであれば以下だが、pgglsの実装はそうではない
# df_sorted <- subset(df01, t != T)
df_sorted <- df01[with(df_sorted, order(id, t)), ]
T_sorted <- length(levels(factor(df_sorted$t)))
mf <- model.frame(update(frml, . ~ . + 0), df_sorted)
X <- model.matrix(mf, mf)
y <- model.response(mf)
X <- apply(X, 2, within_transfer, df_sorted$id)
y <- within_transfer(y, df_sorted$id)
beta_within <- solve(t(X) %*% X) %*% t(X) %*% y
residuals <- y - X %*% beta_within
# idごとにデータを切り出し、tの分散共分散行列をつくる
M <- matrix(0.0, T_sorted, T_sorted)
for(E in tapply(residuals, df_sorted$id, \(x) x %*% t(x))) M <- M + E
M <- M / N
# Omega <- diag(N) %x% Mと描きたいが、それでは数値が不安定で逆行列の乗算ができない
# コレスキー分解を用いる
C <- chol(M) # M == t(C) %*% C
# クロネッカー積で拡大すれば、Omega = diag(N) %x% Mのコレスキー分解
Cx <- diag(N) %x% C
# beta_fegls <- solve(t(X) %*% solve(Omega) %*% X) %*% t(X) %*% solve(Omega) %*% y を行う
A <- t(X) %*% backsolve(Cx, forwardsolve(t(Cx), X)) # = t(X) %*% solve(Omega) %*% y
B <- t(X) %*% backsolve(Cx, forwardsolve(t(Cx), y)) # = t(X) %*% solve(Omega) %*% X
(beta_fegls <- as.numeric(solve(A, B)))
vcov_fegls <- solve(A)
(sqrt(diag(vcov_fegls)))

[1]  1.200888 -2.195275

[1] 0.1665037 0.1618677

係数も標準誤差もplm::pgglsと一致する値が得られました。

データセット

データセットを作成します。

set.seed(2451)
df02 <- genPanelData(N, T, coef = coef_DGP, sd = 3, type = "fewls")

行列計算による推定

パッケージでサポートされていないようなので、行列で計算します。

frml <- y ~ x + z

# applyはIDで整列した順番に値を返すのでソートしておく
df02_sorted <- df02[with(df02, order(id, t)), ]
# データフレームを行列に展開
mf <- model.frame(frml, df02_sorted)
X <- model.matrix(mf, mf)
y <- model.response(mf)

# within変換をかける
X <- apply(X, 2, within_transfer, df02_sorted$id, IsStata = T)
y <- within_transfer(y, df02_sorted$id, IsStata = T)

# Stata互換切片項あり固定効果モデル
coef_within_stata <- solve(t(X) %*% X) %*% t(X) %*% y
residuals <- X %*% coef_within_stata - y

# 切片項なし固定効果モデル
X0 <- apply(model.matrix(mf, mf)[,-1], 2, within_transfer, df02_sorted$id)
y0 <- within_transfer(y, df02_sorted$id)
coef_within <- solve(t(X0) %*% X0) %*% t(X0) %*% y0

# クラスター間で誤差の分散が異なる一方、クラスター内の系列相関が無いモデル
sigma2_i <- tapply(residuals, df02_sorted$id, \(x) sum(x^2)/length(x))
W <- diag(1/sqrt(sigma2_i[df02_sorted$id]))
Omega <- diag(1/sigma2_i[df02_sorted$id])
coef_fewls <- solve(t(X) %*% Omega %*% X) %*% t(X) %*% Omega %*% y

df <- nrow(X) - ncol(X) - N + 1 # 自由度をdummy variable estimatorにあわせる
sigma_fewls <- sqrt(sum((W %*% (y - X %*% coef_fewls))^2) / df)
vcov_fewls <- sigma_fewls^2 * solve(t(X) %*% Omega %*% X)
se_fewls <- sqrt(diag(vcov_fewls))
print(CMP <- matrix(c(NA, coef_DGP[1], coef_DGP[2], NA, coef_within, coef_within_stata, coef_fewls), 3, 4,
    dimnames = list(c("Const.", "x", "z"), c("DGP/True", "within", "Stata-Like", "FE-WLS"))))

       DGP/True    within Stata-Like    FE-WLS
Const.       NA        NA  -7.590897 -4.948839
x             1  1.740772   1.740772  1.118976
z            -2 -3.653774  -3.653774 -3.184559

係数が真の値に近づいていますね。set.seedを消して何回か試してみましたが、こちらは概ね、推定結果を改善できるようです。

クラスター（もしくは同一個体）ごとに誤差の分散が異なる不均一性があると仮定していますが、他の変数に比例するように仮定してWSLSをかけるのも、WとOmegaの計算を教科書的なFGLSと同様にすればよいので難しくはないです。

Dummy Variable Estimator

クラスター（や個体）の数Nが小さい場合は、OLSにダミーを入れてしまうのも手です。

r_lm <- lm(y ~ x + z + id, df02) # 切片項以外はwithin変換による推定と一致
r_lm_r <- lm(residuals(r_lm)^2 ~ id, df02)
r_lm_w <- lm(y ~ x + z + id, df02, weight = 1/predict(r_lm_r))

注意

標準誤差が小さくなるという意味でp-hacking的なところがあるので、仮定において有効な推定量であることを強調しないと、分析結果が疑われがちかも知れません。