タグ

ブックマーク / java-house.jp/~takagi (1)

  • 安全なWebアプリ開発40箇条の鉄則 (全78ページ、960KB)

    JavaWorld DAY 2003 2003年6月19日 会場配布資料 • 画面設計の鉄則 目次 1.アドレスバーを隠さない 2.FRAMEを使わない 3.ブラウザの設定変更を強要しない 4.ユーザ名 だけでログインさせない 5.認証キーには秘密情報を 6.パスワードを4桁数字にしない 7.認証 エラーで存在を暴露しない 8.認証で秘密情報を暴露しない 9.パスワードリマインダの鉄則 • セッション実装の鉄則 10.公開ディレクトリに置かない 11.全てのアクセスを認証チェック 12.アクセス許可対象者を限定 する 13.URLに秘密情報を入れない 14.セッションIDを使う 15.セッションIDは予測不能に 16. 状態はすべてサーバ側に持たせる 17.XSS脆弱性を排除する 18.HTMLタグの入力をさせな い 19.ログアウト機能を用意する 20.際どい操作はPOSTにする

  • 1