パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
webアプリを作ったら、必ず確認するべきセキュリティのチェックリスト | Web活メモ帳
個人情報の漏えいは企業に取ってリスクの一つですが、 2011年では約628万4000人の漏えい事故が発生しています。 1日あたりに換算すると1.7万人の個人情報が流出しています。 その中にはバグやセキュリティホールから、不正アクセスによるものまで数多くありますが、 自分で作成したアプリケーションで出来る限りリスクを減らすために、どのようなチェックをすれば良いか知っている必要があると思います。 最近はWordPressやCakePHPなどのオープンソースのものを使うのが主流になっていますが、セキュリティ実装、チェックの仕方が分かっていないと 脆弱性のあるアプリケーションを作る事になってしまいます。 そこでオススメなのが、どんな攻撃をされるのかを知ること。 そのためにはWEB上の細切れの情報を読むのではなく、体型的にまとめられたものを見るのが オススメです。 PHPで開発している方は、以下の書
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
