oreilly.co.jp -- Online Catalog: Ajaxアプリケーション & Webセキュリティ
Ajaxは、昨今のWebサービスでは欠かせないものとなっていますが、そのインタラクティブ性の高さゆえに多くの脆弱性を抱えており、セキュリティがますます重要になってきています。本書はAjaxアプリケーションをはじめ、Web 2.0関連のテクノロジやWebサービス全般に関しても幅広くカバー。セキュリティに関する基本知識やWebアプリケーションの持つ脆弱性にも詳しく触れています。実際に多数のアクセスを集めているWeb 2.0サイトでのケーススタディなども交え、安全なWebアプリケーションを構築するために必要な知識をコンパクトにまとめています。 はじめに 1章 Webの進化 1.1 Webの始まり 1.2 HTTP(Hypertext Transfer Protocol) 1.3 HTTPトランザクション 1.4 レスポンス 1.5 HTTPメソッド 1.5.1 メソッドの安全性 1.5.2 べき
Web 2.0的アプリのセキュリティ:再考「機密情報にJSONPでアクセスするな」|アークウェブのブログ
SEの進地です。 2007年1月に投稿した「Web 2.0的アプリのセキュリティ:機密情報にJSONPでアクセスするな」は多くの方にお読みいただきました。誤りも指摘され、元エントリーに改修を加えましたが、かなり読みづらい状態になってしまっています。また、JSON、JSONPのセキュリティに関する新たな話題もSea Surfers MLで議論されているのを読み、自分自身の認識や理解も変化しているので、このエントリーでもう一度JSON、JSONP(+JavaScript)に機密情報を含めることの是非と方策を整理、検討したいと思います。 ○JSON、JSONP、JavaScriptによるデータ提供時にセキュリティ対策上留意すべき特徴 JSON、JSONP、JavaScriptによるデータ提供時に留意すべき特徴としてあるのが、「クロスドメインアクセス可能」というものです。JSONPだけでなく、JS
第3回 JSONPでのクロスドメインアクセス | gihyo.jp
JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
Takayuki Nakamura's blog: HTTPSを使うまでもない箇所で暗号化通信を行うためのライブラリ
2007年5月17日 HTTPSを使うまでもない箇所で暗号化通信を行うためのライブラリ HTTPSについて調べていたら、こんなものを見つけた。 『sSSL』(http://assl.sullof.com/assl/) マイコミジャーナルにレビュー記事があったので、読んでみた。 『JavaScript ASPでセキュア通信を - パスワード盗聴対策に"aSSL"はいかが?』 (http://journal.mycom.co.jp/articles/2007/01/11/assl/index.html) つまり、自己署名による証明書を使用したHTTPSの場合警告が出るので、ブラウザレベルではなく、JavaScriptレベルでHTTPSライクなプロトコルを実装した。証明書を使わないので手軽な暗号化通信が可能、ということらしい。 HTTPSの使用が適当とされるクリティカルなサイトへの適用
AjaxでSSL風の通信を行うためのJavaScriptライブラリ「aSSL」:phpspot開発日誌
aSSL - Ajax Secure Service Layer aSSL is a library distributed under MIT License thats implements a technology similar to SSL without HTTPS. AjaxでSSL風の通信を行うためのJavaScriptライブラリ「aSSL」。 https プロトコルを使うわけではなく、Ajaxに用いるパラメータにSSL風128ビット暗号をかけて通信を行うライブラリのようです。 JavaScriptのライブラリと、バックエンド用のPHP or ASPコードが配布されています。 デモ aSSL 1.1 ASP Example using jQuery aSSL 1.1 ASP Example using Prototype 通常のAjaxにおいて、HTTPSのURLを使用する
ウノウラボ Unoh Labs: Web2.0時代のJavaScriptで注意することを5つほげほげ
Keitaです。 Ajaxが流行していますが、まだ、僕個人では実装レベルまでライブラリの蓄積が追いついていません。 各種ライブラリがWebフレームワークレベルでそろったら(そろえたら)使いたいなと思っていますが、なかなかそこまで手が出てないのが現状です。 とはいえ、社内でもDojoや、MochiKitなどのフレームワークがはやりつつあるので、そろそろつかいたいかなーと思いセキュリティを含めたリスクを調査しています。 とはいえ、まだまだ勉強中の身であるので、突っ込みいただけると助かります。 (1) クロスサイトスクリプティングに注意する 基本的な対策は、サーバサイドのときと同じく、描画を行うタイミングでエスケープ処理を行うことになります。 だだし、HTTPヘッダではなくBodyにエスケープしてない文字列をおいた場合にはAjaxではなく直接アクセスすると、XSSになる場合があるので注意が必
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer