【】
体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践/徳丸浩
◆本の内容(Amazon.co.jpより引用):SQLインジェクション、クロスサイト・スクリプティング、
セッションハイジャック、etc.
Webプログラマが知っておくべき攻撃と防御の知識を徹底解説。
◆読んだ時期:
2011年7月1日~2011年7月12日。
◆レビューとか感想とか:
この本は良いですね。
Webアプリケーションを作っていると一度は耳にする「脆弱性」。
これは別にOSやミドルウェアだけの話ではありません。
実際にあなたが作ったシステムにも紛れ込む可能性はある訳です。
本書はシステム開発を行う上で紛れ込みやすい一般的な脆弱性について、
原理や対策を説明してくれています。
基礎的な内容からある程度突っ込んだ内容まで幅広く触れていますが、
比較的初心者でもついていけると思います。
もちろん「『ド素人』でも大丈夫!」とは言えませんが、
一通り開発の流れを経験してセキュリティ系にも意識を向ける時期、
経験年数3年目くらいでしょうか?であれば普通に読めるのではないでしょうか。
ちなみに目次はこんな感じφ(--)
1章 Webアプリケーションの脆弱性とは
2章 実習環境のセットアップ
3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー
4章 Webアプリケーションの機能別に見るセキュリティバグ
5章 代表的なセキュリティ機能
6章 文字コードとセキュリティ
7章 携帯電話向けWebアプリケーションの脆弱性対策
8章 Webサイトの安全性を高めるために
9章 安全なWebアプリケーションのための開発マネジメント
目次は専門的っぽいですが・・内容も専門的です。あれ?
ただ専門的な割には読みやすかったですよ。
ぶっちゃけ私が今までシステム開発の仕事をやらせていただいて
セキュリティ周りが表だって話題になったことって実はあまりありません。
「XSS対策としてトークン埋め込むのをポリシーとします」なんて数える程ですし
お客さまから「ちょっとちょっとー、SQLインジェクション脆弱性あったよー」なんて
言われたこともありません。
お客さまもそこまで意識していない場合が多いのでしょう。
その為、開発者の知識や良心任せになっている比率が
高い部分でもあったりします、セキュリティ周り。
まぁ逆に言えば、きっちり対策していてもお客さまに見えにくい部分だけに
頑張ってもお金になりにくかったりするのですけどね、ごほごほ(-q-;)
そんな不遇なセキュリティさん、表だって勉強できる機会はあまりありません。
システム開発においてセキュリティ周りの強化に明示的な工数を掛けるプロジェクトは稀です。
お金もなーい、時間もなーい、だから表だってやれなーい。
じゃあ自分で勉強するしかねーべさ。
個人的に、セキュリティ周りは出来るだけ若いうちに触れた方が良い分野だと考えています。
流行り廃れはあれど汎用的だから。
分からなくてもいーから触れておくべきです。
まずは存在を知らないと意識する事すら出来ませんよ。
さて、今日は今から福島行ってきます。
明日の夜帰ってきます。色々食べてくる予定です。
ほんでは、いってきまーす。
◆お気に入り度:
★★★★★
■お仕事用Webサイト
ITの万屋 PCS - Piyopiyo Create Service
■ランダムでファジーなランキング?サイト
らんだむふぁじーらんきんぐ?らふら
※携帯電話には対応しておりません。
-----
posted by ササキマコト