なかなか一度では覚えきれないが、勉強にはなった。
たとえば「セッションIDが取得される」、「セッションIDが攻撃者によって固定化される」などの攻撃には、以下のような対策が考えられます。
①セッションIDをクッキーのみで扱うように設定する。
②重要な処理を行う前にユーザーに再度パスワードを入力さ
...続きを読むせる。
③ログイン時に乱数文字列をトークンとして発行してクッキー(Webブラウザ)とセッションファイル(Webサーバー)の双方に保存しておき、認証確認する際にそれらトークンの値が同一かどうか比較する。
④ログイン時の認証が成功した段階で古いセッション情報を破棄してセッションIDを再発行する。
知っておくべき法律
・個人情報保護法
・特定電子メール法
・プロバイダ責任制限法
・不正アクセス禁止法
・不正指令電磁的記録に関する罪
・消費者契約法
代表的な利用規約項目の例
1.会員と入会の定義
2.料金・ポイント等の定義
3.禁止事項
4.免責事項
5.退会について
6.よくある質問と回答
7.個人情報保護方針
JNSAセキュリティシステム開発ガイドライン
クリックジャッキング対策
重要な処理はマウス操作のみで実行できないように、キーボードでの入力操作などを必ず挟む
クレームをつける理由
Twitterでサービスや商品に関するクレームをつける人にその理由を尋ねた調査によると、79%は「友達に見てもらえるから」で、「(そのサービス・商品の提供元の)会社に見てほしいから」と答えた人は52%、「会社に対応してもらいたいから」と答えた人は36%という結果だったそうです。つまり、多くの人は不満の解決のために投稿を行っているのではないのです。