2005年11月20日

セキュアプログラミング「Web技術」を読み終える

テクニカルエンジニア(情報セキュリティ)の午後の試験対策として、セキュアプログラミングのテキスト、といってもネットから入手したものだが、を読んでいる。さすがに、このあたりの内容になると、情報セキュリティアドミニストレーター試験とは異なってくる。

セキュアWebプログラミング、に分類された章は、全部で6節に分かれている。

1. クライアント側の入力チェックは安全でない
2. クロスサイトスクリプティング
3. Webページとユーザ認証
4. クエリストリングから情報が漏れる
5. hiddenは危険(セッション変数を利用しよう)
6. Webフォームの選択項目が危ない

とある。いずれも実践的な内容で、教科書のようなまとめ方にはなっていない。試験の出題用素材としては、むしろ使いやすいかも知れない。サンプルとして挙げられた例は、結構よくあるパターンで、読みながら気になった、運営中のページもあるぐらいだ。それぐらい、Webには弱点が多い。しかも、運営者は気づいていない。

IPAが、なぜ試験の内容にこれを加え、更に言語について補足までしたか。セキュリティはネット技術だけでは済まなくなってきているようだ。
posted by tamaso at 21:13| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/9593794

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。