書籍『Ajaxセキュリティ』に関する残念なお知らせ - ockeghem's blog

昨年の10月に刊行された書籍Ajaxセキュリティは，発刊直後に購入したが，しばらく積ん読になっていた。最近になって読み始めたのだが，いささかあきれる結果となった。HPの現役エンジニア2名の著作，一人は元SPI Dynamics社(WebInspectの開発元，HPが買収)出身，GIJOE氏の監訳ということで期待していたのだが，残念である。 残念だと思う主要な理由は，脆弱性への対策が十分に示されていないことだ。Ajaxであってもインジェクション系脆弱性が発生する可能性があること，むしろ従来型のWebアプリケーションよりもその可能性が広がることは説明されているが，肝心の対策が不十分だ。 本書第四章の後半には，対策として入力検査（バリデーション）が示されている。 4.6 適切な入力検査 4.7 リッチなユーザ入力のバリデーション しかし，入力検証だけでは，任意の文字入力を許す場合の対策はできない

[HolyGrail]

「ダメな部分に手書きで添削をしております。」とか書いて通常よりも高い値段でマーケットプレイスに出すのが解

[NOV1975]

入力値の検証は業務要件に対してしか有効でないよなあ。

[jukuin2000]

売りに出すなよｗ

[rryu]

まあ、この本読んでも分かるのは攻撃方法だけで開発者的にはがっかりな内容です

[rhosoi]

なんでいまだにちゃんとエスケープするという方法が確立されないんだろう？

[poolmmjp]

こんなこと書いてる本まだあるんだ

[nilnil]

この領域の海外の文献は要注意ですね…。

[kogawam]

その本、うちでも積ん読になってるわ。

[monjudoh]

『Ajaxは技術が急速に普及した一方で，セキュリティに関するまとまった解説が見あたらない。良書が少しでも早く発刊されることを切望する次第である。』同感。後、ダメな本は譲渡・転売せずに責任もって廃棄すべき。

[cubed-l]

投げやりに「バリデーション(笑)」とか書きたくなった。不真面目すぎるか…

[te2u]

このタイトル、いろいろと誤解を与えそう。

[sankaseki]

書籍『Ajaxセキュリティ』に関する残念なお知らせ - ockeghem(徳丸浩)の日記

[f-shin]

あれ、捨てるのが正しいのでは？！マーケットプレイスで買った人が....と思ってみた。

[kilrey]

サニタイズ脳。

[mi1kman]

「というわけで，本書は読むべき箇所がない訳ではないのだが，肝心なことが説明されていなくて役に立たないと思った。」