この本に似た3冊のAI推薦あり

セキュアなWebアプリケーション開発

ジェフフォリスタル

みんなの評価・レビューを見る

この本の所有者

taka_akiさん

(4.0)

1人が登録

251回参照

2008年5月3日に更新

詳細ページを見る Amazonで検索

書籍情報

ページ数:: 447ページ
参照数:: 251回
登録日:: 2008/04/16
更新日:: 2008/05/03
所有者:: taka_akiさん

この本を共有する

内容紹介

本書は、Webアプリケーション開発の観点からセキュリティの重要性について論じたものである。Webアプリケーションの開発に携わるプログラマやSEにとっては実践の書として読めるだろう。また、プロジェクトマネージャや管理者、システムを発注するエンドユーザーにとっては、Webアプリケーション開発のプロジェクトにおいてセキュリティ要件をどのように扱い、プロジェクトを運営すればよいかを理解する体系的な本としても読むこともできる。

書籍情報提供: Google Books

Google Booksで見る

📝 レビュー（taka_akiさんのレビュー）

評価:

4/5

レビュー:

これは、思った以上に深かった一冊。

セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。

いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ（創造力に欠け、規則、初歩的な技術で制限のある技術者）」と言う概念や、ハッカー（クラッカーの方が適切かもですけど）の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。

そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。

技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。

tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか：
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること

こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る？

と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。

章末にはQ&Aもあったりして、結構参考になります。