== webセキュリティ == サーバー側(アプリケーション)とクライアント側(ブラウザー)に分けて議論するのがよさそうだが、 今は筆者はまだそうできる段階に到達していない。 -- ToshinoriMaeno <> <> [[/ハイジャック]] http://blog.ohgaki.net/wrong-security-concepts-believed-by-engineers web 業界の人はドキュメント(オブジェクト)を中心に考えるらしい。 webアプリケーションというのはwebサーバで動作するプログラム(オブジェクト)のことだろう。 これらのオブジェクトが存在する世界とはどういうものか。(基本はJavascript) とても複雑で全貌は簡単には把握できそうもない。 OCaml で書いて、[[web/js_of_ocaml]] で変換(生成)したjsを使うことから始めよう。 内部とか外部とかいう言葉を使う人もいるが、用語の定義ははっきりしない。 -- ToshinoriMaeno <> http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方 {{{ IPAが届出(*1)を受けた脆弱性関連情報を基に、 届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、 ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 }}} 危険性を放置しないように警告しているのだが、それだけやれば安全になるのか。 -- ToshinoriMaeno <> http://www.ipa.go.jp/files/000017319.pdf ウェブ健康診断仕様 {{{ 本診断は検査パターンを絞り込んだものです。安全宣言には繋がりません。 }}} 財団法人地方自治情報センター(LASDEC)が実施したウェブ健康診断事業における診断仕様の一部 http://www.atmarkit.co.jp/fcoding/index/webapp.html [[web/Zalewski本]]を読む。 翻訳を買ったのだが、読むに耐えないので、原著を買う。こっちの方がずっと筋が通っている。 -- ToshinoriMaeno <> 初心者が初心者から向上しなかったら、どうするの。 http://anond.hatelabo.jp/20080130215148 http://www.scutum.jp/information/web_security_primer/web_security_introduction.html サイト運営者のためのWebサイトセキュリティ対策入門 == Webアプリケーション == [[/セッション管理]] == なんだ == The Uniform Resource Identifier (URI) DNS Resource Record https://tools.ietf.org/html/rfc7553