セキュアなWebアプリケーション開発
この本の所有者
書籍情報
- ページ数:
-
447ページ
- 参照数:
- 254回
- 登録日:
- 2008/04/16
- 更新日:
- 2008/05/03
- 所有者:
-
taka_akiさん
この本を共有する
内容紹介
書籍情報提供: Google Books
📝 レビュー (taka_akiさんのレビュー)
セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。
いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ(創造力に欠け、規則、初歩的な技術で制限のある技術者)」と言う概念や、ハッカー(クラッカーの方が適切かもですけど)の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。
そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。
技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。
tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか:
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること
こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る?
と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。
章末にはQ&Aもあったりして、結構参考になります。
読書履歴
これは、思った以上に深かった一冊。
セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。
いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ(創造力に欠け、規則、初歩的な技術で制限のある技術者)」と言う概念や、ハッカー(クラッカーの方が適切かもですけど)の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。
そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。
技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。
tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか:
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること
こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る?
と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。
章末にはQ&Aもあったりして、結構参考になります。