2002年12月25日

,■続・「Linuxのリスク」
,■間違いだらけのオープンソース選び
,■ウェブアプリ開発の鉄則31カ条
,■OCNからの指定事業者変更
Title:■ウェブアプリ開発の鉄則31カ条
Title:■ウェブアプリ開発の鉄則31カ条
Title:ウェブアプリ開発の鉄則31カ条 Content-Type: text/html; charset=EUC-JP Last-Modified: Sat, 30 May 2020 03:15:29 GMT サーバ管理者日誌 ウェブアプリ開発の鉄則31カ条

2002年12月25日(水) << 前の日記 | 次の日記 >>
これまでの12月25日 編集

■3 ウェブアプリ開発の鉄則31カ条[http://java-house.jp/~takagi/paper/iw2002-jnsa-takagi-dist.pdf][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

セキュア・プログラミング講座[http://www.ipa.go.jp/security/awareness/vendor/programming/index.html] と共に開発者必読。

安全なWebアプリを作るのは、本当は結構難しくて、数ページの要求仕様に数十項目もセキュリティ上の問題を指摘できることがあります。
これらの問題の存在を指摘して、発生しうる被害とその仕組みの必要性や、より安全な代替方法などを評価した上で実装するのが正しい姿なのでしょうけれども、

客)こういう機能を実装して欲しいんだけど
業)画面デザインはこんな感じで良いですか
客)なんていうか、もう少し新鮮な感じで、シズル感を出して・・・
業)直しました
客)いや、それはちょっと派手なので、落ち着きというか品位というか・・・
(何度かデザインの直し)
業)そろそろスケジュール的にも厳しいんで、決定して頂かないと。
客)じゃぁ、最初のヤツを全体にもう少し明るい色合いにして文字を大きめに。 あと一週間でオープンだからそれまでに間に合う様にね。
(デザイナからやってきたhtmlファイルに無理やりロジックを組み込む。画面遷移は既に決まってしまっているから、問題があっても直せないのだ。)
業)できました
客)セキュリティ上問題があるんで、パスワード入力画面はSSLを使って下さい
業)はいはい(パスワード入力フォーム*だけ*がhttpsに)

なんてできあがるケースはきっと多いに違いないです。

「機能が実装されているかどうか」という検査に関しては、その機能を動作させてみるという方法でチェックが可能なのですが、「安全かどうか」に関しては、そもそもの実装が安全性を考慮して行われていない場合、ある程度の安全性を確認するのに必要な工数が、新規に開発する工数を上回ることがありますし、不可能かも知れません。

従って、完成したWebアプリをチェックして安全性を確保するのは困難です。プロジェクトライフサイクル全体において、安全性が確保できる開発を行う必要があります。

コードレビューは開発中に正しく安全面の考慮が行われたことを確認するための工程とし、セキュリティ上の不安がある実装がレビュー時に発見されるということが無いように開発を進める必要があります。

最近、経験の乏しいプログラマーを、習得が簡単そうなWebアプリプログラマーに育成していることが多いのですが、コードレビューに耐えられるWebアプリは実はとても少ないんじゃないかと不安になります。

■ 関連記事

以上、1 日分です。

指定日の日記を表示

前月 2002年12月 翌月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project