2008/03/09(日)日曜日ー。(夢の、ジャワネットたかな?w)
[セキュリティ] * セキュリティガイドライン (E-3 Inc.)
とても良くまとまっていると思います♪ ただ、個人的にいくつか気になったところは・・・“SQLインジェクション脆弱性対策(1) - エスケープ処理” で、「"」「'」「\」について、“これらの文字の直前に「\」をつけることで対応します。” と書かれてますが、「'」→「''」といったエスケープのほうが一般的な場合が多いんじゃないかなと思ってみたり。同じ章で、“また、エスケープ処理のタイミングもXSS対策ではではデータ出力時であったのに対して、SQLインジェクション対策では当然データの入力時になります。” と書かれていますが、XSS と同様に、入力時の妥当性チェックと 出力時のエスケープで良さそうに思ったり。 (あと、バインドメカニズムの話が出てきても良いんじゃないかなとも。)“セッションハイジャックとは” で、“このセッションIDを盗まれることがセッションハイジャックです。 セッションを盗まれると、そのユーザーに成りすましていろいろな操作が行えるようになってしまいます。” と書いてありますが、セッションハイジャックは(前半の)“盗まれること” ではなくて、(後半の)盗んでなりすますことのほうだと思う。“セッションIDの渡し方” では、“セッション管理が必要なサイトではSSL通信を前提として考えます。” と書かれていますが、そうとも限らないんじゃないかなと思う。 もちろん、機微情報を扱う部分に関しては “SSL通信を前提” だと思いますが、それ以外にもセッションが必要な場面はいろいろとあるんじゃないかなと。上の考え方が影響しているものと思いますが、(セッションIDの渡し方全般の話として)“cookieは必ずsecure属性をつけて発行してください。” というのが、SSL前提の時以外は当たらないので注意が必要かも。気持ちはよく分かるけど、ちがうw →“高木浩光@自宅の日記 ←IPAのセキュリティ担当の方”[雑談] * 少女が天国の母親に送った手紙、料金未納で返送 罰金通知付き (痛いニュース)
ハガキならともかく、封書じゃあ、郵便局を “粋じゃない” と責めるわけにもいかないw
とても良くまとまっていると思います♪ ただ、個人的にいくつか気になったところは・・・“SQLインジェクション脆弱性対策(1) - エスケープ処理” で、「"」「'」「\」について、“これらの文字の直前に「\」をつけることで対応します。” と書かれてますが、「'」→「''」といったエスケープのほうが一般的な場合が多いんじゃないかなと思ってみたり。同じ章で、“また、エスケープ処理のタイミングもXSS対策ではではデータ出力時であったのに対して、SQLインジェクション対策では当然データの入力時になります。” と書かれていますが、XSS と同様に、入力時の妥当性チェックと 出力時のエスケープで良さそうに思ったり。 (あと、バインドメカニズムの話が出てきても良いんじゃないかなとも。)“セッションハイジャックとは” で、“このセッションIDを盗まれることがセッションハイジャックです。 セッションを盗まれると、そのユーザーに成りすましていろいろな操作が行えるようになってしまいます。” と書いてありますが、セッションハイジャックは(前半の)“盗まれること” ではなくて、(後半の)盗んでなりすますことのほうだと思う。“セッションIDの渡し方” では、“セッション管理が必要なサイトではSSL通信を前提として考えます。” と書かれていますが、そうとも限らないんじゃないかなと思う。 もちろん、機微情報を扱う部分に関しては “SSL通信を前提” だと思いますが、それ以外にもセッションが必要な場面はいろいろとあるんじゃないかなと。上の考え方が影響しているものと思いますが、(セッションIDの渡し方全般の話として)“cookieは必ずsecure属性をつけて発行してください。” というのが、SSL前提の時以外は当たらないので注意が必要かも。気持ちはよく分かるけど、ちがうw →“高木浩光@自宅の日記 ←IPAのセキュリティ担当の方”[雑談] * 少女が天国の母親に送った手紙、料金未納で返送 罰金通知付き (痛いニュース)
ハガキならともかく、封書じゃあ、郵便局を “粋じゃない” と責めるわけにもいかないw