サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
TOPICSProgramming , Web ,Security 発行年月日 2008年02月 PRINT LENGTH 284 ISBN 978-4-87311-358-6 原書 Securing Ajax Applications FORMATPDF Ajaxは、昨今のWebサービスでは欠かせないものとなっていますが、そのインタラクティブ性の高さゆえに多くの脆弱性を抱えており、セキュリティがますます重要になってきています。本書はAjaxアプリケーションをはじめ、Web 2.0関連のテクノロジやWebサービス全般に関しても幅広くカバー。セキュリティに関する基本知識やWebアプリケーションの持つ脆弱性にも詳しく触れています。実際に多数のアクセスを集めているWeb 2.0サイトでのケーススタディなども交え、安全なWebアプリケーションを構築するために必要な知識をコンパクトにまとめてい
HTTPSを使わずに、PHPやASPで暗号化通信を行うAjaxライブラリ「aSSL」が登場した。RC4暗号化アルゴリズムを使うことでSSLと同様の機能を実現する。 aSSLは自動的に送信内容を暗号化しながらサーバとやりとりをする。セッションが切れそうになるたびにキーを生成し、同一のキーは再利用されない。 aSSLライブラリはJavaScriptファイルとサーバーコンポーネントから成り、PHPとASP環境で利用できる。将来的にはPerlやPython、TKLなどでも使用できるようにするという。 ただ現在、脆弱性のバグが見つかり、修正しているようだ。 aSSL - Ajax Secure Service Layer
「ウェブリブログ」は2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
だが、クロスサイトスクリプティングの問題は、リスクの1つに過ぎない。Fortify SoftwareのチーフサイエンティストBrian Chess氏によれば、Ajaxのコードで問題を引き起こすおそれがあるものとして、レースコンディション、妥当でないコード、オブジェクトモデルの違反、不完全な乱数、不適切なエラー処理などがあるという。 このようなエラーから、ユーザーのデータが外部に流出したり、あるユーザーが他のユーザーのセッション制御を奪い、悪意のあるプログラムの実行その他の攻撃を行ったりする可能性があると、Fortify Softwareは説明している。同社が2005年12月に「Foundations of Ajax」というソフトウェア開発者向けの解説書を調べたところ、掲載されているAjaxのサンプルコード中に、こうした問題がすべて見つかったという。 「(同書に載っている)サンプルコードは、
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
セキュリティ低下のサンプル 前述のとおり、Ajaxの実行環境では、原則としてJavaScriptの有効化が前提となっています。このため、JavaScriptによって収集可能なユーザー情報が、無意識なうちにサーバに転送されてしまう可能性も考えられます。つまり、悪意を持った開発者が作成したAjaxアプリケーションは、あなたのパソコンに送り込まれたスパイのように振る舞う「スパイウェア注1)」となっているかもしれません。スパイウェアには、さまざまな定義がありますが、ここでは以下のような振る舞いに着目して紹介することにします。 注1) スパイウェア:PCユーザーが気付かないうちに、ユーザーの情報を集め、特定の団体に送信するアプリケーション 注2)PCのキーボード入力を監視し記録するソフトウェア/ハードウェア 注3) キーロガーと同様に、ユーザーのマウス操作を監視して、それを記録するソフトウェア 参
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
Tryit! This app usesjavascript and XMLHttpRequest. Your browser must have these enabled to try this out. I didn't put in code that would check for incompability, sorry. See limitations section below for other shortcomings. Known to work with FireFox 1.5beta and IE 6.0. Recording Move the mouse into the record area. To start recording, press and keep a mouse button clicked. While keeping the mous
Internet Explorer TeamBlog We've moved! Find us at the newMicrosoft Edge DevBlog As we announced last week, with the reveal ofMicrosoft Edge we are archiving the IEBlog. Future... Date: 05/08/2015Microsoft Edge is the browser forWindows 10 This morning, Joe Belfiore took to the stage atBuild 2015 to share more about the next chapter in... Date: 04/29/2015 Announcing improvements to Enterpri
1リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: Ajaxアプリケーション & Webセキュリティ: 本: Christopher Wells,牧野 聡
