テーマ：Webセキュリティ

キーワード：サニタイズ，脆弱性，Webアプリケーション，インジェクション，エスケープ処理

メモ：

• サニタイズ：無害化の総称
• XSS(クロスサイトスクリプティング )の対策として、HTML出力時、サニタイジングする
• SQLインジェクションは、SQL生成時にエスケープ処理すること
• 最近は自動的に脅威を防いでくれるライブラリが充実してきている

読んどいたほうがよさそうな本とかサイト：

• ビューティフルセキュリティ
• 情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方

PHPのことあまり知らなかったけど、送信時にスクリプト送り込まれてパスワード取られちゃう方法を実演してくれたので、どこら辺がマズいのかなんとなくわかった。
でもすっきりしないので本とか読んだほうが良いな。

そういえば前に面白いサービスに遭遇したの思い出した。
PHPで書かれてたクーポンサイトがあって、空メール送って会員登録したらクーポンが表示されるURLが送信されてくるってサービスなんだけど、他の携帯からその送られてきたURL丸々打ち込んだら、同じクーポンが表示されちゃったというお話。
大都会の結構有名なチェーン店のクーポンでこうなのか…ってちょっとびっくりした。
こういうところから個人情報とられちゃったりという問題に発展するのかなぁーと。

今日の勉強会で、「最近は脆弱性を防いでくれるライブラリがあるからあまりセキュリティについて意識しないでコード書きがちだけど、リリース前にしつこく見直さないと駄目」って話も出てた。
今、私もRailsの認証機能を使ったちょっとしたサイトつくってるけど、どうしてそうなるのかってことをしっかり理解しておかないとアタック受けたとき対策取れないなぁと。そして、そこの仕組みをあまり理解していない自分がいるってこと。
いや、無知って怖いですね。勉強せねば。

ちなみに、次回の勉強会は年明けて１月の中頃に行うそうだ。
勉強会でやって欲しい内容とか自由にリクエストできるみたいなので、わからないことリスト作ってリクエストしてみようかな。