体系的に学ぶ 安全なWebアプリケーションの作り方 第2版の詳細を見る
拡大画像を表示

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 [honto]

著者 :
  • SBクリエイティブ
0.00
  • (0)
  • (0)
  • (0)
  • (0)
  • (0)
本棚登録 : 8
感想 : 1
hontoで購入
サイトに貼り付ける
本ページはアフィリエイトプログラムによる収益を得ています
  • honto ・電子書籍
  • / ISBN・EAN: 9784797393163

感想・レビュー・書評

並び替え
表示形式
表示件数
絞り込み

  • 評判がよく前からいつか読んでみたいと思ってて、電子書籍が安くなってる時(去年の11月)に購入したものの、まとまった時間がある時に読みたいと思って読んでなくてようやく読了。
    1日あったら読み切れるかなと思ったけど、自分の読書スピードでは2日以上かかった。なんと、691ページもあるというかなり濃厚な本だった。
    さすがに評判がいいだけあって、Web制作を行う上で気を付けたいセキュリティ対策については網羅されてるように思った。自分は試してないけど、実習用の仮想マシンなんかも用意されていて、この本を作るのにどれだけ時間をかけたのだろうと脱帽した。
    セキュリティ診断にはOWASP ZAPというのがいいらしい。覚えておきたい。
    後、文字列にヌルバイトが入っていても正しくあつかえることをバイナリセーフというらしい。知らなかった。これも覚えておきたいと思った。
    プレースホルダには静的プレースホルダと動的プレースホルダの二種類があるということを初めて知った。普段仕事でNpgsql(.NETで使うPostgreSQLに接続するためのライブラリ)でプレースホルダを実装してるのだけど、これは果たしてどっちなのだろう。軽く調べてもよく分からなかった。
    数あるセキュリティ脆弱性のなかでも、OSコマンド・インジェクションは特に怖いなと思った。そうそうこの脆弱性があることってないと思うのだけど、linuxコマンドでファイル処理を行うなんてことあるからなぁ。気を付けたいと思う。
    後、セキュリティ対策用のレスポンスヘッダの指定がいろいろあるのだなと思った。X-Frame-Optionsとか、X-Content-Type-Optionsとか、とりあえずつけておいてもいいのかもしれない。
    ちょっとよく分からなかったのが、ハッシュの元データに追加するソルトについて。ユーザー毎に異なるものにするというのは分かるのだけど、多くの場合は乱数を用いるとのこと。ということは、その乱数をどこかに記憶しておかなきゃいけないと思うのだけど、どういうふうに保存するのがいいのだろう? ハッシュ化したパスワードをいれてテーブルに保存するのか? 個人的にはユーザーIDに固定のソルトでハッシュ化したものをソルトにしてとかでいいような気もする。
    ちょっと興味深かったのが、SQLインジェクション対策もれの責任を開発会社に問う判決の裁判。やっぱり、こういうセキュリティ対策は発注側だけでなく、開発側もちゃんと把握してやらないといけないのだろうなと思った。こういうの聞くと、セキュリティ対策についてはもっと勉強してちゃんとやるようにしないといけないのだろうなと思った。

    0
    コメント0件をすべて表示
全1件中 1 - 1件を表示

著者プロフィール

1985年京セラ株式会社に入社後、ソフトウェアの開発。企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立。脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会を通じてセキュリティの啓蒙活動を行っている。EGセキュアソリューションズ株式会社代表、OWASP Japanアドバイザリーボード、独立行政法人情報処理推進機構(IPA)非常勤研究員。

「2018年 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版』 で使われていた紹介文から引用しています。」

徳丸浩の作品

徳丸浩の作品ランキング・新刊情報へ

最近本棚に登録した人

  • 話題の本に出会えて、蔵書管理を手軽にできる!ブクログのアプリ AppStoreからダウンロード GooglePlayで手に入れよう
ツイートする
×