- honto ・電子書籍
- / ISBN・EAN: 9784797393163
感想・レビュー・書評
-
評判がよく前からいつか読んでみたいと思ってて、電子書籍が安くなってる時(去年の11月)に購入したものの、まとまった時間がある時に読みたいと思って読んでなくてようやく読了。
1日あったら読み切れるかなと思ったけど、自分の読書スピードでは2日以上かかった。なんと、691ページもあるというかなり濃厚な本だった。
さすがに評判がいいだけあって、Web制作を行う上で気を付けたいセキュリティ対策については網羅されてるように思った。自分は試してないけど、実習用の仮想マシンなんかも用意されていて、この本を作るのにどれだけ時間をかけたのだろうと脱帽した。
セキュリティ診断にはOWASP ZAPというのがいいらしい。覚えておきたい。
後、文字列にヌルバイトが入っていても正しくあつかえることをバイナリセーフというらしい。知らなかった。これも覚えておきたいと思った。
プレースホルダには静的プレースホルダと動的プレースホルダの二種類があるということを初めて知った。普段仕事でNpgsql(.NETで使うPostgreSQLに接続するためのライブラリ)でプレースホルダを実装してるのだけど、これは果たしてどっちなのだろう。軽く調べてもよく分からなかった。
数あるセキュリティ脆弱性のなかでも、OSコマンド・インジェクションは特に怖いなと思った。そうそうこの脆弱性があることってないと思うのだけど、linuxコマンドでファイル処理を行うなんてことあるからなぁ。気を付けたいと思う。
後、セキュリティ対策用のレスポンスヘッダの指定がいろいろあるのだなと思った。X-Frame-Optionsとか、X-Content-Type-Optionsとか、とりあえずつけておいてもいいのかもしれない。
ちょっとよく分からなかったのが、ハッシュの元データに追加するソルトについて。ユーザー毎に異なるものにするというのは分かるのだけど、多くの場合は乱数を用いるとのこと。ということは、その乱数をどこかに記憶しておかなきゃいけないと思うのだけど、どういうふうに保存するのがいいのだろう? ハッシュ化したパスワードをいれてテーブルに保存するのか? 個人的にはユーザーIDに固定のソルトでハッシュ化したものをソルトにしてとかでいいような気もする。
ちょっと興味深かったのが、SQLインジェクション対策もれの責任を開発会社に問う判決の裁判。やっぱり、こういうセキュリティ対策は発注側だけでなく、開発側もちゃんと把握してやらないといけないのだろうなと思った。こういうの聞くと、セキュリティ対策についてはもっと勉強してちゃんとやるようにしないといけないのだろうなと思った。詳細をみるコメント0件をすべて表示