Google
ブログ(iiyu.asablo.jpの検索)
ホットコーナー内の検索
 でもASAHIネット(asahi-net.or.jp)全体の検索です。
 検索したい言葉のあとに、空白で区切ってki4s-nkmrを入れるといいかも。
 例 中村(show) ki4s-nkmr

ウェブ全体の検索

インターネットでPDFをワードやエクセル文書に変換! 「瞬簡PDF for Cloud」

徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」その22011年04月05日 03時04分23秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 徳丸様。献本ありがとうございます。
 やっと感想を少し書きます。

http://www.amazon.co.jp/exec/obidos/ASIN/4797361190/showshotcorne-22/
体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と
対策の実践 [大型本]
徳丸 浩 (著
 ソフトバンク・クリエイティブにある紹介。
http://www.sbcr.jp/products/4797361193.html
体系的に学ぶ 安全なWebアプリケーションの作り方

 まず、ざっくり500ページもあって重い。
 中身は、いろんな攻撃手段と防御手段がみっちり書き込んであって、濃密。
 攻撃と防御、セキュリティの一般論から始まって、パスワードクラッキング、
シェルインジェクション、SQLインジェクションなどの注入系攻撃、
JavaScriptのクロスサイトスクリプティング(XSS)、クロスサイト・リクエス
トフォージェリ(CSRF)、認証やアカウント管理の方法などなど、いっぱい攻撃
手口と防御手段が丁寧に解説してある。
 これだけでも、こんなに集めてまとめたなと感心するが、さらにまだある。
 普通のセキュリティ関係の本ではまず見かけない、文字コードにまつわるセ
キュリティや携帯電話にまつわるセキュリティのことまで解説してある。
 サンプルコードも、実際に動かして試せるように、VMWare Playerまで入っ
たCD-ROMもついていて、至れり尽くせり。
 しかし、ぼくが、この本で、一番、感心したのは、それらではない。
 最後に開発マネジメント、開発プロセス自体を改善しないとセキュリティが
守られないことを章を割いて解説してある。
 開発チームに一人でもセキュリティ意識の低い人間がいると、そこからやら
れしまう。
 ソフトを開発する側だけではなく、発注する側、もっといえば単にソフトを
使う側でも、たとえば、経営者や経営陣がセキュリティ意識が低いと、簡単に
企業のデータを盗まれるし、業務が止まってしまう。ユーザであっても、一人
でもセキュリティ意識の低い人間がいると、そこからやられてしまうのだ。
 「セキュリティはプロセス」ということを学生にもよく言うのだが、セキュ
リティは、ファイアウォールを入れたからもう大丈夫、なんとかソフトを入れ
たからもう大丈夫というものではない。組織・チームのマネジメント、プロセ
ス、構造、意識を日々改善していくことが重要。
 世のセキュリティ技術の解説では、技術解説に終始して、マネジメントやプ
ロセスの重要性を強調していないものが大半だ。そのせいもあってか、マネジ
メントやプロセスの重要性がなかなか世間で認知されていないし、認識しても
実践されていないのが、現状だろう。
 ぼくが読んだ本で、その重要性を書いてあった記憶があるのは、
http://www.amazon.co.jp/exec/obidos/ASIN/4881359967/showshotcorne-22/
暗号の秘密とウソ [単行本]
Bruce Schneier (著), 山形 浩生 (編集), ブルース・シュナイアー (著)
くらいだ。
 その点で、本書「体系的に学ぶ 安全なWebアプリケーションの作り方」は、
目配りがよく利いている。「体系的に学ぶ」は伊達ではない。
 こういうすばらしい本が出た以上、今後はこれが防御の最低ラインになるだ
ろう。攻撃者はこの上を行く攻撃手法を開発するだろうから。

 ところで、恥ずかしながら、ぼくは、レインボーテーブル、レインボークラ
ックを知らなかった。
 ちょっと調べたら、Windows XPなどVista以前のWindowsの場合は、過去との
互換性のためにソルト(salt)を使わずに、ハッシュ値を計算するので、この攻
撃に弱いという。
 とっくの昔にこの攻撃をやるツールが出回っている。簡単なパスワードしか
設定していないと、1分程度でパスワードが破れるそうだ。

 さて、セキュリティで思い出したことがある。
 学生の頃に読んだのか、社会人になってまもなく読んだのか。Unixを開発し
た功績で、C言語を開発したデニス・リッチーとともにチューリング賞を受賞
したケン・トンプソンのチューリング賞受賞記念講演。調べたら、「信用を信
用することができるだろうか」というタイトルだった。
 これ、コンパイラを改造して、悪意のあるコードを生成する話。これをやら
れると、いくらソースコードをレビューしてもセキュリティホールは見つから
ない。
 この記念講演は、共立出版から出ていたコンピュータサイエンス誌「bit」
の1984年12月号に載っている。図書館にでも行けばあるかもしれない。
 1966年から1985年までの20年間の受賞記念講演22編を収録したものが、bit
創刊20周年記念出版で出ている。これにも収録されているはず。
http://www.amazon.co.jp/exec/obidos/ASIN/4320024877/showshotcorne-22/
ACMチューリング賞講演集 [単行本]
赤 摂也 (翻訳)
 図書館にでもあれば読んでみてください。

 もう1つは最近の話。セキュリティ関係の本は、ソフトウェアレベルでの解
説がほとんど。CPUは、正しく作られているという前提がある。しかし、チッ
プレベルでクラッキングするための回路を組み込むという話がある。
 それが載っているのは、
http://www.amazon.co.jp/exec/obidos/ASIN/B0041TA7EU/showshotcorne-22/
日経サイエンス 2010年 11月号 [雑誌] [雑誌]
 その記事の概要は、
http://www.nikkei-science.com/page/magazine/1011/201011_096.html
半導体チップに潜むハッカー
J. ビラセナー(カリフォルニア大学ロサンゼルス校)
にある。読むとすごいでしょ。そういう心配までしないといけない時代になっ
ているというのだ。
 ちなみに、この号は、茂木健一郎の対談の最終回。
 なんと、クマムシだった。\(^O^)/
 ほんと、クマムシのこと、書こう。

関連:
http://iiyu.asablo.jp/blog/2011/03/23/5754564
徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/24/5755461
Re: 徳丸浩「体系的に学ぶ 安全なWebアプリケーションの作り方」
http://iiyu.asablo.jp/blog/2011/03/19/5749034
マイクロソフト元社長の成毛が相変わらず軽いので、ツイッターで話題になっ
ていました。

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※なお、送られたコメントはブログの管理者が確認するまで公開されません。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:
一富士、二鷹、三は? ひらがなで。

コメント:

トラックバック

_ ホットコーナーの舞台裏 - 2011年04月05日 03時23分21秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア

_ ホットコーナーの舞台裏 - 2011年04月12日 10時19分57秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://iiyu.asablo.jp/blog/2011/04/05/5774321
徳丸浩「体系的に学ぶ 安全なWebア

_ ホットコーナーの舞台裏 - 2011年06月30日 01時09分19秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 知ってる人は、みんな使っている高性能ウェブサーバ
「nginx(エンジ

_ ホットコーナーの舞台裏 - 2011年08月15日 23時46分54秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 お買い上げありがとうございます。
http://www.amazon.co.jp/exec/obidos/ASIN/4

_ ホットコーナーの舞台裏 - 2011年08月15日 23時47分26秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 偽物の電子部品が出回っていて、場合によっては、命に関わる非常

_ ホットコーナーの舞台裏 - 2011年12月06日 06時31分55秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 Twitterでは流したけど、
http://www.gizmodo.jp/2011/12/your-android-phone-is-secretl

_ ホットコーナーの舞台裏 - 2011年12月06日 06時32分31秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 もう2週間以上、経っているのか。
 府中出身のタレント、NHKサイ

_ ホットコーナーの舞台裏 - 2012年08月25日 04時47分30秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 お買い上げありがとうございます。
http://www.amazon.co.jp/exec/obidos/ASIN/4

_ ホットコーナーの舞台裏 - 2012年11月05日 04時26分59秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 (財)九州先端科学技術研究所(ISIT)から、Java セキュアコーディングセ

_ ホットコーナーの舞台裏 - 2013年05月09日 05時48分14秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 徳丸浩さんが、こんなのを書いていた。
http://blog.tokumaru.org/2013/05/how

_ ホットコーナーの舞台裏 - 2013年06月26日 05時12分53秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
https://twitter.com/shownakamura/status/347896976391684097
--- ここから ---
徳丸浩の

_ ホットコーナーの舞台裏 - 2013年07月16日 10時27分23秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 リンクのみで失礼。
http://tumblr.tokumaru.org/post/55393403591
もう入力値検

_ ホットコーナーの舞台裏 - 2013年08月28日 10時34分47秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 徳丸さんによる、XSS(Cross Site Scripting)の解説。

http://www.slideshare.net/o

_ ホットコーナーの舞台裏 - 2013年11月05日 10時21分15秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
http://blog.ohgaki.net/javascript-string-escape
JavaScript文字列のエスケープ

 

_ ホットコーナーの舞台裏 - 2014年02月05日 10時49分08秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 一昨日(2014/02/03)、セキュリティ研究者の高木浩光さんが、JALのサイ

_ ホットコーナーの舞台裏 - 2014年02月13日 08時16分26秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 JALのパスワード問題。Clojureで、こんなのを書いた人がいる。
http://q

_ ホットコーナーの舞台裏 - 2014年04月26日 10時35分28秒

ASAHIネット(http://asahi-net.jp )のjouwa/salonからホットコーナー(http://www.asahi-net.or.jp/~ki4s-nkmr/ )に転載したものから。
---
 さっき、サイバーテロ、サイバー戦争をリストしたので、流れで。