安全なパスワードの保存方法
以下の記事で、パスワードは平文で保存しないことと、パスワードを保護することは Webアプリケーション提供側の責任と解説しました。パスワードを平文で保存しない なぜパスワードを保護するのかでは、具体的に安全なパスワードの保存方法について解説します。まず、パスワードを、MD5, SHA1 などのハッシュ関数でハッシュ化すれば安全なのでしょうか?ハッシュ関数とは...
>>続きを読む
Webアプリケーションセキュリティ対策
安全なパスワードの保存方法
なぜパスワードを保護するのか
Webアプリケーションが管理しているデータの中には、クレジットカードの情報など重要な情報がたくさんあります。 それなのに、パスワードだけ特別な保存方法を行うのは何故でしょうか?(重要情報の暗号化はあり得ます) それは、1つの Webアプリケーションでパスワードが漏洩すると、他の Webアプリケーションのアカウントが乗っ取られてしまう可能性が高いからです。 一般的な Webアプリケーションは、 ID...
>>続きを読む
パスワードを平文で保存しない
パスワードを平文(ひらぶん、人が読めるテキスト形式)で保存している Webアプリケーションはないでしょうか? 現在のインターネットで Webアプリケーションを公開すると、必ずと言っていいほど攻撃を受けます。その結果、情報漏えいという事故を起こすこともありえるでしょう。 実際、Webアプリケーションが攻撃されて情報漏えいの事故が起きています。 ソニー7700万件情報流出、原因は「脆弱性への未対処」...
>>続きを読む
重要情報はブラウザに持たない
ブラウザから Web サーバーに送信されるデータは、簡単に改ざんすることが可能です。hidden 項目は表示されない項目ですが、ユーザーに見えないからといって改ざんされない訳ではありません。Cookie も改ざん可能です。 ですので、改ざんされて問題のある情報、例えば商品の価格などはブラウザで情報を持ってはいけません。改ざんされて問題がある情報は、Webサーバー上に持つようにしましょう。 ブラウザ...
>>続きを読む
ブラウザのデータと Web サーバーのデータを区別する
Web アプリケーションを作り始めの初学者が陥りやすいことの中に、ブラウザで管理しているデータと Web サーバーで管理しているデータの区別がつかないというものがあります。 これは、サーバーサイドのシステムを理解しているかどうかと言い換えることもできます。実際、私がクライアントサーバーのシステムからサーバーサイドのシステムに移ったときに混乱しました。クライアントサーバーのシステムでは考える必要がな...
>>続きを読む