2005年11月20日

セキュアプログラミング「Web技術」を読み終える

テクニカルエンジニア(情報セキュリティ)の午後の試験対策として、セキュアプログラミングのテキスト、といってもネットから入手したものだが、を読んでいる。さすがに、このあたりの内容になると、情報セキュリティアドミニストレーター試験とは異なってくる。

セキュアWebプログラミング、に分類された章は、全部で6節に分かれている。

1. クライアント側の入力チェックは安全でない
2. クロスサイトスクリプティング
3. Webページとユーザ認証
4. クエリストリングから情報が漏れる
5. hiddenは危険(セッション変数を利用しよう)
6. Webフォームの選択項目が危ない

とある。いずれも実践的な内容で、教科書のようなまとめ方にはなっていない。試験の出題用素材としては、むしろ使いやすいかも知れない。サンプルとして挙げられた例は、結構よくあるパターンで、読みながら気になった、運営中のページもあるぐらいだ。それぐらい、Webには弱点が多い。しかも、運営者は気づいていない。

IPAが、なぜ試験の内容にこれを加え、更に言語について補足までしたか。セキュリティはネット技術だけでは済まなくなってきているようだ。
posted by tamaso at 21:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。