×
[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
<Basic1>
パスワードを他人が見えるところに置くのはまずい。
<Basic2>
パスワードを設定し忘れちゃ話にならない。
パスワードを設定しないと動作しないシステムが安全かなぁ。
<Basic 3>
Basic1と同じ。
<Basic4-5>
Hiddenにしてるからと言って、Formにメールアドレス等をのせるのは危険。これらのパラメータは、JavaScriptやProxyを用いることで書き換え可能。
メールアドレス等は、サーバー側のみで扱うようにすればいいか?
そもそもユーザに知らせる必要のない情報(この場合メールアドレス)はユーザに送信すべきじゃ無いよなぁ。
<Basic6>
自分でアルゴリズム考えるより、素直にSHA1とか使えば良くね?
<Basic7>
ユーザが入力した値(文字列)を、そのままコマンドとして実行するのは危険。ユーザが入力した値が妥当かどうかを検査する必要がある。
この検査は、クライアント/サーバー両方でするのが良いか。
クライアント側で検査する理由: ユーザの誤入力を検出するため。
サーバー側で検査する理由: 入力値が妥当(安全)なものかを検証するため。
<Basic8>
Basic7とだいたい同じ。
入力値に含まれる特殊な記号とかは、事前にエスケープすりゃいい?
Basic8の場合"<"を"<"、">"を">"に置き換えるとか。
<Basic9>
意外なところからも攻められるんですね。
<Basic10>
パスワードを管理するだけでは不十分。ユーザ認証もしっかりやんなきゃマズイってことか。
そして、Cookieも書き換え出来ちゃうってことはあまり信用できない情報ってことなのかー。
パスワードを他人が見えるところに置くのはまずい。
<Basic2>
パスワードを設定し忘れちゃ話にならない。
パスワードを設定しないと動作しないシステムが安全かなぁ。
<Basic 3>
Basic1と同じ。
<Basic4-5>
Hiddenにしてるからと言って、Formにメールアドレス等をのせるのは危険。これらのパラメータは、JavaScriptやProxyを用いることで書き換え可能。
メールアドレス等は、サーバー側のみで扱うようにすればいいか?
そもそもユーザに知らせる必要のない情報(この場合メールアドレス)はユーザに送信すべきじゃ無いよなぁ。
<Basic6>
自分でアルゴリズム考えるより、素直にSHA1とか使えば良くね?
<Basic7>
ユーザが入力した値(文字列)を、そのままコマンドとして実行するのは危険。ユーザが入力した値が妥当かどうかを検査する必要がある。
この検査は、クライアント/サーバー両方でするのが良いか。
クライアント側で検査する理由: ユーザの誤入力を検出するため。
サーバー側で検査する理由: 入力値が妥当(安全)なものかを検証するため。
<Basic8>
Basic7とだいたい同じ。
入力値に含まれる特殊な記号とかは、事前にエスケープすりゃいい?
Basic8の場合"<"を"<"、">"を">"に置き換えるとか。
<Basic9>
意外なところからも攻められるんですね。
<Basic10>
パスワードを管理するだけでは不十分。ユーザ認証もしっかりやんなきゃマズイってことか。
そして、Cookieも書き換え出来ちゃうってことはあまり信用できない情報ってことなのかー。
PR
Comment
最新記事
ブログ内検索