ネットワーク管理者任せは、もうやめませんか。これからは、開発者がセキュリティを考える時代です。不正アクセス防止のためのWebアプリケーション強化入門。
個人情報の流出、重大なセキュリティホールの発見などアプリケーションに求められる堅固さセキュアレベルは非常に高まっています。本書は、プログラマーレベルで対処できるアプリケーションのセキュリティ強化に関して書かれた本です。
対象読者
本書の対象は、Webアプリケーションを開発する必要のある技術者である。「WebフォームのGETとPOSTの違い」や「passwordフィールドは安全か?」、「汚染チェック(サニタイジング)」など、Webアプリケーションを作るときに気をつけるべきことが網羅されていて、技術者のみならずWeb開発に携わるすべての人に読んで欲しい。
特徴
Webアプリケーションで問題となるセキュリティーホールを防ぐための手法が網羅されている。本書の目次は次のようになっている。
- Webサーバのセキュリティ
- セッション管理
- 汚染チェック
- 遷移制御
- クロスサイトスクリプティング
- 情報流出対策
- ユーザー認証とアクセス制御
- Web掲示板
- その他の注意点
- SSL
- データベース
- 運用/メンテナンスガイド
- サーバのセキュリティ管理
- 実践編
少しでもWebアプリケーションのセキュリティに関心がある人なら、大体どんなことが書いてあるのか想像できると思います。一つ一つのトピックに丁寧に解説が加えられていて、読みやすいです。実装は、Perlで書かれていますが、他の言語を使っているWebプログラマーにも読めるくらい簡単です。
「汚染チェック」から、クライアント側による入力値のチェックの短所について。クライアント側のスクリプトによる入力チェックは、上手く用いれば利用者の利便性を向上させたり、 サーバの負荷を下げたりできます。しかし、セキュリティの観点から言えば、何もチェックしていないのと同じです。 クライアント側スクリプトの入力チェックを使用する場合は、その処理に依存せず、サーバ側のチェックを必ず併用しなくてはなりません。
参考
セキュリティに関する本は、他にもたくさんでています。一冊読んだだけですべてをわかった気にならずに、いくつか書籍を読むのがいいと思います。
- @IT
- IPA ISEC
- 関連おすすめ書籍