Webアプリのセキュリティin work

 
date:2009.04.14   posted by:yokoyama
 

初めまして横山です。来年度入社予定です。

さて、今回はWebアプリケーションにおけるセキュリティの話です。コミュニケーションツールとしては掲示板・Blog・SNSなどがありますが、不特定多数のユーザーが書き込み可能という点においてはどれも共通しています。ユーザーのメールアドレスが登録されている場合も安心ではありません。セキュリティ対策を行わなかった場合、
「他のユーザーになりすまして書き込み」
「データベースに保存されているデータを消去」
「認証すりぬけ」
などの被害が予想されます。

一から開発する場合、セキュリティ対策はかなり時間のかかるものとなってしまいます。フレームワークを利用すればよいのかもしれませんが、独自仕様を習得する必要があります。そこで利用したいのがオープンソースです。Blogの場WordPressやMovable Type、SNSの場合OpenPNEが代表されます。ソースが公開されているので、セキュリティ対策がしてあります。必ずしも完璧ではありませんが、問題があった場合に開発側が対策パッチをリリースしてくれます。後はパスワード管理、フォルダのパーミッションくらいに気をつけるくらいでしょうか。サーバーを独自で持っている場合は、それのセキュリティ対策も重要ですが。

OpenPNEは、どの攻撃方法に対応しているのか公開しています。>>OpenPNEセキュリティ対策 攻撃方法自体はこれだけではありませんが、この対策をしていれば残りの方法でも攻撃できません。ただしユーザーの利用に制限が出てしまいます。現在も日記を書く際にHTMLタグでの装飾はできません。これの対策としてBBコードを採用し、簡単な装飾が可能になっています。BBコードはもちろん安全ですが、WYSIWYGエディタは採用されていないようですので、結果を想像しながら装飾しなければなりません。(一応FCK Editorに変更すればBBコードの一部でWYSIWYG編集ができ、プラグインで対応するコードを増やす事もできるようです。)「セキュリティ」と「ユーザーの自由度」のバランスは難しいものですね。

 
"security"で関連する記事一覧 (シーケンスで表示する)
•2009.04.14-Webアプリのセキュリティ in work
 
 
Copyright © TheDesignium inc. powered by WordPress & mootools.
Relative Keyword|security