体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
- 作者: 徳丸浩
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2011/03/03
- メディア: 大型本
- 購入: 119人 クリック: 4,283回
- この商品を含むブログ (144件) を見る
読もう読もうと思って読めてなかったので読んだ。 インターネットの良心、徳丸先生の本です。
いやーこれも、エンジニアは必読の本ですね。 エンジニアやっていると、「セキュリティ的にこれをやっちゃダメ」ってのは沢山出会いますが、 そういうのを"なぜダメか"、"どういう対策方法があるか"をきちんと論理だって丁寧に説明してくれるので、大変役に立ちます。
ただ、一点、「CSRF対策用トークンの値にセッションIDを使いましょう」って部分は疑問に思った。 malaさんも CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かった って書いてるけど、 HTMLにセッションIDを埋め込むのはセッションハイジャックの可能性があるので、やらないほうがよいと思います。
