全てのWEBサービスでチェックすべきセキュリティ項目

WEBサービスにおけるセキュリティ対策の基礎 近年WEBサービスの脆弱性が騒がれておりますが、果たしてあなたが運用しているサイトのセキュリティは大丈夫でしょうか？以下、チェックしておくべきセキュリティ項目をあげました。 SSL証明書の利用 ユーザのプライベートな情報を送信してもらいサーバに保存するようなサービスではSSL認証は必須の機能と言えるでしょう。SSL認証を行っていないと、大切なユーザの情報が外部の悪いユーザに見られてしまう可能性があります。 ※ちなみにGozal-mediaではプライベートな情報のやり取りは行っていないためhttpで通信を行っています。 【確認方法】 ・ユーザ情報を送受信するページのURLが「https」から始まっている事を確認 ・「https」のページにアクセスした際に「セキュリティ証明書が信頼できない」という用な表示が出てこない事を確認 【導入方法】 導入

[hakaikosen]

オートコンプリートを勝手に無効にすんな。

[ockeghem]

全体的に気にいらないけど、たとえばXSSで「;」「$」をエスケープしろとしている（どうやって？）のに「¥」がないとか、文字エンコーディングの言及がないとか

[renu]

セキュリティも大事ですが、急なアクセスでテンポラリエラーを出さないような環境も大事だと思います

[y-kawaz]

autocomplete="off" すると簡易なパスワードへの変更が続出してセキュリティはかえって下がることが多いからやめたほうが良い。エスケープ周りとか他のアラは多分徳丸さん辺りが叩いてくれる筈。

[burnworks]

セキュリティの話は中途半端な知識で書かない方がよいと思うんですよ

[harupu]

"テンポラリファイルとして秘密情報が残ってしまいます"ってよくいう人いるけど、それを言ったらほぼ何も表示できないのでは？その観点ではキャッシュされないようにするべき。必要なければ表示しない方がよいけど。

[otchy210]

決定的に間違ってるわけではないけど、すごくもやもやする中途半端な記事だった。セキュリティ方面の記事は生半可な知識で書くもんじゃないなぁ、というお手本のような記事。

[shoji1977]

“WEBサービスにおけるセキュリティ対策の基礎 近年WEBサービスの脆弱性が騒がれておりますが、果たしてあなたが運用しているサイトのセキュリティは大丈夫でしょうか？以下、チェックしておくべきセキュリティ項目を

[k-holy]

バリデーションとエスケープを同列に扱ってるあたりがサニタイズ脳っぽい。自分で実装したのかなぁというふわふわした内容に見えます

[phista]

今更感はあるがまあ知識ない人に説明するときにはいいかも

[youichirou]

HTTPSを暗号化とだけ書いているあたりで眉にツバを付けたくなった。認証も重要な機能だと思う。

[nilnil]

これ、誰向けの文章なん? と思ってタイトル見ると、経営者(細かすぎ)でも管理者(網羅性不安)でも技術者(物足りない)でもない「起業家」ですか……。

[haniworks]

セキュリティ]

[ooiooiooi0313]

Tags: via Pocket May 06, 2014 at 12:36PM

[hidex7777]

ブコメ参照

[matsumoto_r]

OSのコマンドを叩けないようにすることは本質的ではなく、OSのパーミッションなどできちんと権限を分離すべき。

[Marin_MTB]

テンプレとしても使えそう

[mugencafe]

なんでこれだけしか書いてないんだろうか？？

[poppun1940]

WEBサービスにおけるセキュリティ対策の基礎 近年WEBサービスの脆弱性が騒がれておりますが、果たしてあなたが運用しているサイトのセキュリティは大丈夫でしょうか？以下、チェックしておくべきセキュリティ項目をあ

[sisijumi]

これで網羅してると。。。

[suepeko]

“CSRF”

[tmatsuu]

ほぼ良い。が、XSSは多種多様なのでその確認だけでokとするのは危険だと思いました。