「安全なウェブサイトの作り方」改訂第7版が公開

「安全なウェブサイトの作り方」改訂第7版が公開 16

ストーリー by hylom 2015年03月16日 15時24分
お勉強しましょう部門より

情報処理推進機構（IPA）が、「安全なウェブサイトの作り方」改訂第7版を公開した（IPAの発表）。

「安全なウェブサイトの作り方」は、Webサイト開発者や運営者に向けて適切なセキュリティ対策方法を紹介するドキュメント。SQLインジェクションやOSコマンドインジェクション、ディレクトリトラバーサル、クロスサイトスクリプティングといったよく使われる攻撃方法についての解説やその対策方法についてまとめられている。

また、SQLインジェクション対策についてまとめた「安全なSQLの呼び出し方」という別冊も用意されているほか、「セキュリティ実装チェックリスト」や「ウェブ健康診断仕様」も公開されている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索16コメント Log In/Create an Account

対照しながら読むと理解が進む予感 (スコア:4, 興味深い)

by chuukai (18189) on 2015年03月16日 16時09分 (#2778509) 日記

数年に1回、ウエブアプリケーションを自サイトのために作る程度の初心者な私ですが、「Webシステム／Webアプリケーションセキュリティ要件書」 [tricorder.jp]と比較して何が違うのかに注意しながら読むと理解が進む予感がします。
＃かませ犬にしてごめんなさい。
最も安全なウェブサイトの作り方 (スコア:0)

by Anonymous Coward on 2015年03月16日 15時39分 (#2778487)

インターネットに繋がない
- Re:最も安全なウェブサイトの作り方 (スコア:3)
  
  by iwakuralain (33086) on 2015年03月16日 16時13分 (#2778511)
  
  それは単なるサイトであってウェブではないかも・・・
  
  シェア
  
  親コメント
  - Re:最も安全なウェブサイトの作り方 (スコア:3)
    
    by jobsa (39063) on 2015年03月16日 17時52分 (#2778578)
    
    WorldWideWebではなくLocalNarrowWebといえるかも。
    
    シェア
    
    親コメント
  - Re:最も安全なウェブサイトの作り方 (スコア:1)
    
    by Anonymous Coward on 2015年03月17日 0時32分 (#2778800)
    
    「長い間使ってなかったら、いつのまにかSpider webが付いてたよ！」
    というオチなのでは。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    non world wide web ?
- Re: (スコア:0)
  
  by Anonymous Coward
  
  業者に依頼するべき。
  素人が勝手に作ると、~~儲からなくなるから~~危険だから、専門家に任せたほうがいい。
  「安全なウェブサイトの作り方」なんてものを公開すると、安全なウェブサイトが業者に発注しなくてもできてしまうような誤解を与えるので、公開するべきであい。
  - Re:最も安全なウェブサイトの作り方 (スコア:2)
    
    by hishakuan (32621) on 2015年03月16日 22時39分 (#2778763) 日記
    
    素人なんだけど安全なウェブサイトを作れる業者はどうやって選べばいいんだ？
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      業者が作ったものを正しく評価するために、素人は「最も安全なウェブサイトの作り方」を学ばねばなりませんね。できれば自力で構築できるレベルで。
      いや、ほんと。難しいですよね、素人がプロに仕事を依頼する際の評価って（例えば受け入れ試験どうするかとか）。
      よく受託側の話として「依頼側がちゃんとシステムを理解できないからいけないんだ！」的な話が出る一方で、別の視点からだと「素人は理解できないんだからプロに任せろよ」みたいなこと言われちゃうから。
      完全に同じ事を対象に言ってるわけじゃないのは分かるんですけどね……。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        第三者に脆弱性検査してもらうってのがひとつの方法。
        こういう人もいるし [hatena.ne.jp]、その手のサービスやってるところはググればいっぱい出てくる。
        十分な腕(クラッキング技術)を持っているかどうかはわからないけど、腕が良くても見落としはよくあることなんでそこはまぁ程々に妥協するしかないけど。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    「勝手に作ると」そうでしょうけど、このドキュメントをきちんと読んで設計実装出来るなら、
    業者でなくても安全なウェブサイトは業者ではなくても作れますよ。
    逆に言えば、業者であってもこのドキュメントから逸脱した作りであれば危険です。
    そして、Webサイトを作ることを生業にするのに資格はいらないのです。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      残念ながら、こういったドキュメントから逸脱していても、多数決で”みんなこうですよ”と言ってまかり通ってしまうのが現状。
      理解できないことはなかったことにする輩が多すぎて、非機能要件なんて無視されている。
      なぜ、そうなったかといえば資格が要らないから。
      免許制にするべきだ。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ＞免許制にするべきだ。
        君がまかり間違っても落ちないレベルの試験だといいな
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        とりあえず、ウェブ健康診断なるものを見てみてばいいよ。
        カネ取ってるやつらにこういうことまで教えなきゃいけないのか？という内容だよ。
        ところが、今はAjaxだとかJSONだとかに隠れて見つけにくくなっていて、もうどうしようもない状況。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        最高情報セキュリティー責任者(CISO)の資格を免許制にするのが良いような気がします。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ただ、問題が起きた時とIPAの注意喚起があったなら開発側の責任になるっていう判決が出たから、組織防衛のためには対応しないといけなくなった。放置してたら裁判に負けるというのはバカを説得するのには有効。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「安全なウェブサイトの作り方」改訂第7版が公開 16

「安全なウェブサイトの作り方」改訂第7版が公開 More ログイン

対照しながら読むと理解が進む予感 (スコア:4, 興味深い)

最も安全なウェブサイトの作り方 (スコア:0)

Re:最も安全なウェブサイトの作り方 (スコア:3)

Re:最も安全なウェブサイトの作り方 (スコア:3)

Re:最も安全なウェブサイトの作り方 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:最も安全なウェブサイトの作り方 (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド