中山貴禎のレビュー一覧

Web担当者のためのセキュリティの教科書

中山貴禎

Web関連のセキュリティのみをまとめた本は、そのほとんどが技術者向けの実践マニュアルだったけど、この本は少し趣向が異なる。

セキュリティインシデントが起こる背景や、必ずしも技術的によらないインシデントの記述もあり、概要がつかめる著となっている。

WEBディレクターや自社のWEBを運営・管理する立場の人なら、一度読み込んでおいたほうが良い。

Web担当者のためのセキュリティの教科書

中山貴禎

‪Webセキュリティの入門書。冒頭の「実際に世間を騒がせた事件や事故の多くは、たとえば最新かつ最高難度の攻撃技術を100とすれば、せいぜい30点から50点程度の脆弱性を利用した攻撃」という言葉が全て。トップレベルの専門家にはなれなくても、基本に忠実に穴を塞ぐ現場の人間にはなれる。‬

Web担当者のためのセキュリティの教科書

中山貴禎

　なかなか一度では覚えきれないが、勉強にはなった。

　たとえば「セッションIDが取得される」、「セッションIDが攻撃者によって固定化される」などの攻撃には、以下のような対策が考えられます。
①セッションIDをクッキーのみで扱うように設定する。
②重要な処理を行う前にユーザーに再度パスワードを入力させる。
③ログイン時に乱数文字列をトークンとして発行してクッキー（Webブラウザ）とセッションファイル（Webサーバー）の双方に保存しておき、認証確認する際にそれらトークンの値が同一かどうか比較する。
④ログイン時の認証が成功した段階で古いセッション情報を破棄してセッションIDを再発行する。

　知っておくべき法律
・個人情報保護法
・特定電子メール法
・プロバイダ責任制限法
・不正アクセス禁止法
・不正指令電磁的記録に関する罪
・消費者契約法

　代表的な利用規約項目の例
１．会員と入会の定義
２．料金・ポイント等の定義
３．禁止事項
４．免責事項
５．退会について
６．よくある質問と回答
７．個人情報保護方針

　JNSAセキュリティシステム開発ガイドライン

　クリックジャッキング対策
　重要な処理はマウス操作のみで実行できないように、キーボードでの入力操作などを必ず挟む

　クレームをつける理由
　Twitterでサービスや商品に関するクレームをつける人にその理由を尋ねた調査によると、79％は「友達に見てもらえるから」で、「（そのサービス・商品の提供元の）会社に見てほしいから」と答えた人は52％、「会社に対応してもらいたいから」と答えた人は36％という結果だったそうです。つまり、多くの人は不満の解決のために投稿を行っているのではないのです。

Web担当者のためのセキュリティの教科書

中山貴禎

　なかなか一度では覚えきれないが、勉強にはなった。

　たとえば「セッションIDが取得される」、「セッションIDが攻撃者によって固定化される」などの攻撃には、以下のような対策が考えられます。
?セッションIDをクッキーのみで扱うように設定する。
?重要な処理を行う前にユーザーに再度パスワードを入力させる。
?ログイン時に乱数文字列をトークンとして発行してクッキー（Webブラウザ）とセッションファイル（Webサーバー）の双方に保存しておき、認証確認する際にそれらトークンの値が同一かどうか比較する。
?ログイン時の認証が成功した段階で古いセッション情報を破棄してセッションIDを再発行する。

　知っておくべき法律
・個人情報保護法
・特定電子メール法
・プロバイダ責任制限法
・不正アクセス禁止法
・不正指令電磁的記録に関する罪
・消費者契約法

　代表的な利用規約項目の例
１．会員と入会の定義
２．料金・ポイント等の定義
３．禁止事項
４．免責事項
５．退会について
６．よくある質問と回答
７．個人情報保護方針

　JNSAセキュリティシステム開発ガイドライン

　クリックジャッキング対策
　重要な処理はマウス操作のみで実行できないように、キーボードでの入力操作などを必ず挟む

　クレームをつける理由
　Twitterでサービスや商品に関するクレームをつける人にその理由を尋ねた調査によると、79％は「友達に見てもらえるから」で、「（そのサービス・商品の提供元の）会社に見てほしいから」と答えた人は52％、「会社に対応してもらいたいから」と答えた人は36％という結果だったそうです。つまり、多くの人は不満の解決のために投稿を行っているのではないのです。