「体系的に学ぶ安全なWebアプリケーションの作り方」を読んだ

読もう読もうと思って読めてなかったので読んだ。インターネットの良心、徳丸先生の本です。

いやーこれも、エンジニアは必読の本ですね。エンジニアやっていると、「セキュリティ的にこれをやっちゃダメ」ってのは沢山出会いますが、そういうのを"なぜダメか"、"どういう対策方法があるか"をきちんと論理だって丁寧に説明してくれるので、大変役に立ちます。

ただ、一点、「CSRF対策用トークンの値にセッションIDを使いましょう」って部分は疑問に思った。 malaさんも CSRF対策用トークンの値にセッションIDそのものを使ってもいい時代なんて、そもそも無かったって書いてるけど、 HTMLにセッションIDを埋め込むのはセッションハイジャックの可能性があるので、やらないほうがよいと思います。