この本について
本書は、Webアプリケーション開発の観点からセキュリティの重要性について論じたものである。Webアプリケーションの開発に携わるプログラマやSEにとっては実践の書として読めるだろう。また、プロジェクトマネージャや管理者、システムを発注するエンドユーザーにとっては、Webアプリケーション開発のプロジェクトにおいてセキュリティ要件をどのように扱い、プロジェクトを運営すればよいかを理解する体系的な本としても読むこともできる。
みんなの評価
4
5
4
3
2
1
レビュー
これは、思った以上に深かった一冊。
セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。
いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ(創造力に欠け、規則、初歩的な技術で制限のある技術者)」と言う概念や、ハッカー(クラッカーの方が適切かもですけど)の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。
そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。
技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。
tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか:
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること
こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る?
と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。
章末にはQ&Aもあったりして、結構参考になります。
セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。
いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ(創造力に欠け、規則、初歩的な技術で制限のある技術者)」と言う概念や、ハッカー(クラッカーの方が適切かもですけど)の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。
そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。
技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。
tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか:
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること
こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る?
と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。
章末にはQ&Aもあったりして、結構参考になります。
この本を読んでいる人(1人)
読書ステータス
読了
1人