2006年04月04日

Webの基本と午前対策の2回目 〜 テクニカルエンジニア(情報セキュリティ)試験対策

東京出張があり、いつものコーヒーショップの滞在時間は出張から戻ってから1時間。新幹線の車内では集中しにくいが、そちらはとりあえずテキストを読むぐらいで済ます。

テキストは、Webに関連したセキュリティの押さえどころを一通り。ざっと、次のポイントが頭に入っているか、だ。午後問題として作りやすい切り口ではある。

1.入力データのチェックをクライアント側スクリプトに頼っていない。
2.全ての入力データからHTMLタグとなりうる文字「<」「>」を取り除いている。
3.HTMLにデータを埋め込む際には必ずHTMLエンコーディング(「<」「>」「&」「"」「'」→「<」「>」「&」「"」「'」の置き換え)をしている。
4.保護が必要な全てのページにユーザ認証機構を組み込んでいる。
5.事前に推定可能なセッションIDを用いていない。
6.重要なデータのキーをURLのクエリストリングで受け渡していない。
7.hiddenフィールドでデータを受け渡していない。
8.WWWブラウザから送られてきた<SELECT>の<OPTION>項目の値,ラジオボタン項目の値,チェックボックス項目の値についても入力チェックを行っている。

ざっと眺めて、「あぁ、そのことか」程度の理解でいいかも知れない。

午前は、40問。計算問題などは手間取ることになるが、本試験でも時間のかかる問題になるだろう。もっとも、計算問題は「知識問題」ではなく「スキル問題」なので、知っていると侮っていると失敗する。何度か、同じ問題でも手を動かして解いておく必要がある。一旦身につくと、逆に加点問題になる。

明日は、診断協会の研究会のため、時間はほとんど取れない。体調を整えることを考えよう。
posted by tamaso at 23:57| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。