2009-10-11

■ 堺

朝から夕方まで堺．

■ 作業

帰宅後作業．

■ PHPセキュリティ対策

「PHPサイバーテロの技法―攻撃と防御の実際」を読みセキュリティについて勉強． この本PHPと銘打っているが，別にPHPに限らずすべてのウェブアプリケーションに関係する話が書いてある． 中身もすごくわかりやすく，良書だと思う．

いやあね，セキュリティ対策の重要性については，もういろんなところで聞くようになってきたけど，色々ウェブサイトを見ても，具体的な話が見えてこない． どうやって攻撃されるのか，攻撃されるとどのような問題が生じるのか，そして対策は何をすればいいのか， それがこの本にはきちんと書かれていて，とても勉強になる．

例えばXSSについて． XSSの問題点は一言で言えば，javascriptが勝手に実行されてしまうことで， じゃあそれによってどんな被害が生じるのかといえば， javascriptを使うとcookieを外部に送信することができるので セッションの(秘密鍵の)漏洩(勝手にログイン後画面を操作されてしまう)などがおきてしまうことが問題なのだ．

他にも色々な攻撃があるんだけど，これらは予め知っておかないと常人では絶対に考え付かないと思う． 色々な攻撃法を知って，セキュアなコードをかけるようになりたい．