[ThinkIT] 第3回:認証 (1/4)
今日のWebアプリケーションにおいて、認証システムはほぼ必須の機能であるといっても過言ではありません。今回はWebアプリケーションにおける認証の考え方やしくみ、Sledgeによる実装について解説したいと思います。 もっとも身近な認証の例として、読者のみなさんも会員制のWebサイトなどを利用されたことがあるかと思います。このようなサイトでは個人が認識され、自分専用のデータなどが利用できます。また、有料サイトでは認証されたユーザのサービスプランによって、提供される機能に差がつけられている場合もあります。 Webアプリケーション以外の例として、UNIX系OSのユーザ管理を挙げることができます。UNIX系OSでは、ユーザIDとパスワードを持っている人しかコンピュータの資源を使用することができません。また、使用できたとしても特権ユーザ(root)と他のユーザでは、できることやアクセスできる範囲に差が
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
