葉っぱ日記

■[Book] 体系的に学ぶ 安全なWebアプリケーションの作り方

巷で話題の書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」を著者である徳丸さんから頂きました。

徳丸さんが書籍を書くにあたりレビューアを募集していたときに、おもしろそうなので一足先に読みたいなと思ったものの、それがレビューというよりは自己満足のための動機であること、レビューアに求められている条件、特に「初心者目線」「言語(PHP、Perl、Java、C#/VB.NET、JavaScript、SQL)のエキスパート」には当てはまりそうにないので申し込まなかったのですが、どうしても我慢しきれなくなり、XSSやリダイレクト、受動的攻撃に関する箇所だけフライングでレビューさせて頂きました。そもそも徳丸さんの書く文章は、世間では「安心の徳丸印」と言われるくらい完成度が高く、レビューするといっても指摘するような間違いは滅多になく、ほとんどが好みの問題として片付けられてしまうような些末なことばかりで、全体のレビューをしている人は大変だなと思いながら楽しませてもらいました。

さて、本書の内容ですが、まさにタイトルにふさわしく、前から順に読んでいくことで安全なWebアプリケーションをどうやって作成すればいいのかが網羅的に把握できる内容となっています。Webアプリケーションセキュリティに関して、初学者にまず学んでもらうための教科書として適切な書籍というものがなかなか見つからず、そういうものを尋ねられたときに結構悩んでいたのですが、これからはこの「徳丸本」がまさに教科書として相応しいのではないかと思います。

目次を見ればわかるように、「脆弱性とは何か」という本質的であるにも関わらず見過ごされがちな点を真正面から見据え、以降も付属CD-ROMをベースとした体験環境の構築方法やFiddlerのセットアップ、HTTPの説明などが続き、Webアプリケーションプログラミングに関する経験の浅い人でもつまづくことのないように配慮された内容になっています。

続く第4章は圧巻の237ページという、これだけで通常の書籍1冊はあろうというボリュームで、XSSやSQLインジェクション、セッション管理の問題といった、Webアプリケーションセキュリティの中心的なトピックを丁寧に解説しています。5章以降も、パスワードリマインダに代表されるアプリケーション上のアカウント管理や文字コード、携帯電話向けアプリケーションでの対策に関するトピックなどが、安全なWebアプリケーションに関して必要とされる知識を網羅しつつも簡潔にまとめられています。

XSSやSQLインジェクションなど、個別の攻撃方法や対策についてはこれまでも多くの書籍あるいはWeb上のコンテンツとしてまとめられていますが、そこに限らず「パスワードリマインダはどうあるべきか」「Webサーバの運用上、どのような点に注意すべきか」など、必要にして最小の情報が高い密度でまとめられているのが本書の最大の特徴だと思います。

体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: ソフトバンククリエイティブ
• 発売日: 2011/03/03
• メディア: 大型本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (136件) を見る

ツイートする

■[Book] 実践 デバッグ技法――GDB、DDD、Eclipseによるデバッギング

オライリージャパン様から献本をいただきました。ありがとうございます。

あとで感想書きます。

ツイートする

■[BOOK] デバッグの本を買いました。

「デバッグに関してきちんと説明した本が新しく出た」と聞いたので、さっそく買いました。連休中にしっかり読んで、printfデバッグを卒業して基板系プログラマになろうと思います。

となりは大きさ比較のためのギャンのプラモデルの箱。

とりあえづ DebugHacks&Tシャツ欲しい！

ツイートする

■[BOOK] Ajaxセキュリティ

ばけらさん (bakera.jp)が力強く日記に書いていらしたので、少し見てみました。

• Ajaxセキュリティ (www.amazon.co.jp)

そういえばこの本、極楽せきゅあ日記でも紹介されていましたね。表紙の写真はそのださんにお任せして。

ざっと見た感じ、なまめかしい女性が出ていたり、割とこんな感じで興味深いと思います。

たとえ再び彼女を目にしたとしても、誰も憶えてすらいないだろう。店の隅に座った、この20歳ほどとおぼしき女性の容姿が、ぱっとしないわけではない。むしろ美人だ。けれども、わざと地味な服装をして、口数は極端に少なく、人の目を惹くようなことは決してしない。(略) カフェでThinkPadのキーボードを叩くメガネをかけた女性よりおもしろそうなものが、周囲にはたくさんある。

Ajaxセキュリティ、毎日コミュニケーションズ、P.27より

(強調は、はせがわによる)

充分、人の目を惹くと思うんですけど、どうなんですかね？ヤマガタさん。

Ajaxセキュリティ

• 作者: Billy Hoffman,Bryan Sullivan,GIJOE,渡邉了介
• 出版社/メーカー: 毎日コミュニケーションズ
• 発売日: 2008/09/26
• メディア: 単行本（ソフトカバー）
• 購入: 1人 クリック: 15回
• この商品を含むブログ (11件) を見る

ツイートする

■[BOOK] Webアプリケーションテスト手法

適当に買ってきた本をナニゲに開いたら、参考文献がきちんと記載されてて笑った!!

セキュリティだけに関するテストの本ではないので、あんまりページは割かれていない。「サニタイズ」という語は意図して(かどうかは知らないけど)避けてるものの、「XSSを防ぐためには、(略)入力された文字列の中から(略)無害化することが必要となります。」みたいな記述がチラホラあって残念。あと、UTF-7のXSSについてAtomやRSSを組み合わせた手法などにも触れているのに、認識できないcharsetを避けるといった話題がないのも残念。

上記のImageFightについても、現状のIEではBMPにしか影響がないので、PNGに変換するのが現実的な対策なのですが、それにも触れていない。全体に、網羅する範囲が広いだけに個々の話題の細部が甘いなというのが読んだ感想です。

Webアプリケーションテスト手法

• 作者: 水野貴明,石井勇一,新藤愛大,岸田健一郎,荻野淳也,安井力,田中慎司
• 出版社/メーカー: 毎日コミュニケーションズ
• 発売日: 2008/07/25
• メディア: 単行本（ソフトカバー）
• 購入: 10人 クリック: 280回
• この商品を含むブログ (23件) を見る

ツイートする