セキュアなWebアプリケーション開発 [221回参照されました]
taka_akiさん がこの本を手に取りました。taka_akiさんは、これまでに3,187冊の本を読み、938,315ページをめくりました。
本の紹介
100% [全447ページ]
状態 読み終わった!
2008/05/03 21:32:30更新
著者 ジェフ フォリスタル ブックリンクされた本
評価
★★★★☆感想
これは、思った以上に深かった一冊。
セキュリティに関する本は山ほどあれど、セキュリティに対する「思想」をここまで盛り込んだのはこれが初めてかも。
いわゆるDDoS攻撃や、XSSなどの技術的な知見がえられるのはもちろんですけど、今回初めて知った「コードグラインダ(創造力に欠け、規則、初歩的な技術で制限のある技術者)」と言う概念や、ハッカー(クラッカーの方が適切かもですけど)の視点に立った、サイト攻略のロールプレイなど、これまで読んだ本に無かった視点を提供してくれました。
そもそも、クラッキングって攻撃者だけでは成立し得なくて、その対象があって初めて成立するものな訳で。そう考えれば、攻撃者を非難ばかりしてても意味が無いのは明白。防御側もちゃんとした知識、考え方を持たなくちゃですよね。って、半ばコードグラインダと化していた自分が言うのもなんですけどね…。
技術的な内容も多彩ですけど「ソーシャルエンジニアリング」にも結構なページ数を割いています。
tips的な項目も結構ありまして。例えば「セキュアなCGIスクリプトを作成するためのルール」とか:
・ユーザとのやり取りを制限すること
・ユーザからの入力を信用しないこと
・機密情報を送信するためにGETパラメータを使用しないこと
・スクリプトに決して機密情報を含めないこと
・コンピュータ上のWebサーバー以外のプログラムや、一時ファイル、スクリプトのバックアップファイルをサイトを運用開始する前にサーバーから削除すること
・第三者から入手したCGIプログラムのソースコードはダブルチェックすること
・自分のCGIスクリプトあるいはプログラムをテストすること
こんなん当たり前じゃん、って言われるかもですけど、意外と忘れがち。経験者は語る?
と、対象は一般的なWebアプリから、ActiveX、Java、XMLなど広範です。それらはきっともっと深い専門書も読むべきだとは思いますけど、とにもかくにも、セキュリティの「考え方」を再認識させてくれるにはいい感じの一冊なのでした。
章末にはQ&Aもあったりして、結構参考になります。
読書の軌跡
12ページ | 2008/04/22 00:22:15 |
34ページ | 2008/05/01 17:07:24 |
38ページ | 2008/05/02 17:56:11 | コードグラインダ、興味深い |
45ページ | 2008/05/02 20:45:46 |
46ページ | 2008/05/02 20:51:30 |
54ページ | 2008/05/02 23:52:07 |
57ページ | 2008/05/02 23:57:22 |
66ページ | 2008/05/03 00:07:39 |
78ページ | 2008/05/03 00:21:58 |
90ページ | 2008/05/03 10:42:46 | モバイルコードとは、メールなどでネットワーク越しに送信、実行可能なプログラム |
108ページ | 2008/05/03 12:39:06 |
122ページ | 2008/05/03 13:10:05 |
152ページ | 2008/05/03 13:27:52 |
224ページ | 2008/05/03 14:15:40 |
348ページ | 2008/05/03 14:24:25 |
447ページ | 2008/05/03 14:44:26 |
コメント
コメントするにはログインが必要です。