1. webセキュリティ
サーバー側(アプリケーション)とクライアント側(ブラウザー)に分けて議論するのがよさそうだが、 今は筆者はまだそうできる段階に到達していない。 -- ToshinoriMaeno 2015-06-05 11:21:18
| /Same-Origin_Policy /XSS /セッション管理 /ハイジャック |
http://blog.ohgaki.net/wrong-security-concepts-believed-by-engineers
web 業界の人はドキュメント(オブジェクト)を中心に考えるらしい。
- webアプリケーションというのはwebサーバで動作するプログラム(オブジェクト)のことだろう。
これらのオブジェクトが存在する世界とはどういうものか。(基本はJavascript)
- とても複雑で全貌は簡単には把握できそうもない。
OCaml で書いて、web/js_of_ocaml で変換(生成)したjsを使うことから始めよう。
内部とか外部とかいう言葉を使う人もいるが、用語の定義ははっきりしない。
-- ToshinoriMaeno 2012-08-13 23:10:56
http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方
IPAが届出(*1)を受けた脆弱性関連情報を基に、 届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、 ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。
危険性を放置しないように警告しているのだが、それだけやれば安全になるのか。 -- ToshinoriMaeno 2015-06-03 00:35:20
http://www.ipa.go.jp/files/000017319.pdf ウェブ健康診断仕様
本診断は検査パターンを絞り込んだものです。安全宣言には繋がりません。
- 財団法人地方自治情報センター(LASDEC)が実施したウェブ健康診断事業における診断仕様の一部
http://www.atmarkit.co.jp/fcoding/index/webapp.html
web/Zalewski本を読む。
- 翻訳を買ったのだが、読むに耐えないので、原著を買う。こっちの方がずっと筋が通っている。
-- ToshinoriMaeno 2012-08-25 10:36:19
初心者が初心者から向上しなかったら、どうするの。 http://anond.hatelabo.jp/20080130215148
http://www.scutum.jp/information/web_security_primer/web_security_introduction.html サイト運営者のためのWebサイトセキュリティ対策入門
2. Webアプリケーション
3. なんだ
The Uniform Resource Identifier (URI) DNS Resource Record https://tools.ietf.org/html/rfc7553