Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから

Webアプリケーションセキュリティ

2013年2月27日
安全なパスワードの保存方法

以下の記事で、パスワードは平文で保存しないことと、パスワードを保護することは Webアプリケーション提供側の責任と解説しました。 パスワードを平文で保存しない なぜパスワードを保護するのか では、具体的に安全なパスワードの保存方法について解説します。 まず、パスワードを、MD5, SHA1 などのハッシュ関数でハッシュ化すれば安全なのでしょうか? ハッシュ関数とは...
>>続きを読む

2013年2月27日
なぜパスワードを保護するのか

Webアプリケーションが管理しているデータの中には、クレジットカードの情報など重要な情報がたくさんあります。 それなのに、パスワードだけ特別な保存方法を行うのは何故でしょうか?(重要情報の暗号化はあり得ます) それは、1つの Webアプリケーションでパスワードが漏洩すると、他の Webアプリケーションのアカウントが乗っ取られてしまう可能性が高いからです。 一般的な Webアプリケーションは、 ID...
>>続きを読む

2013年2月27日
パスワードを平文で保存しない

パスワードを平文(ひらぶん、人が読めるテキスト形式)で保存している Webアプリケーションはないでしょうか? 現在のインターネットで Webアプリケーションを公開すると、必ずと言っていいほど攻撃を受けます。その結果、情報漏えいという事故を起こすこともありえるでしょう。 実際、Webアプリケーションが攻撃されて情報漏えいの事故が起きています。 ソニー7700万件情報流出、原因は「脆弱性への未対処」...
>>続きを読む

2013年2月26日
重要情報はブラウザに持たない

ブラウザから Web サーバーに送信されるデータは、簡単に改ざんすることが可能です。hidden 項目は表示されない項目ですが、ユーザーに見えないからといって改ざんされない訳ではありません。Cookie も改ざん可能です。 ですので、改ざんされて問題のある情報、例えば商品の価格などはブラウザで情報を持ってはいけません。改ざんされて問題がある情報は、Webサーバー上に持つようにしましょう。 ブラウザ...
>>続きを読む

2013年2月25日
ブラウザのデータと Web サーバーのデータを区別する

Web アプリケーションを作り始めの初学者が陥りやすいことの中に、ブラウザで管理しているデータと Web サーバーで管理しているデータの区別がつかないというものがあります。 これは、サーバーサイドのシステムを理解しているかどうかと言い換えることもできます。実際、私がクライアントサーバーのシステムからサーバーサイドのシステムに移ったときに混乱しました。クライアントサーバーのシステムでは考える必要がな...
>>続きを読む