Tadashi "ELF" Jokagiさんのタグ: gigoe

商品の説明

内容紹介

AjaxはWebアプリケーションを完全に変え、Web開発者はAjaxでできることの限界を拡大させ続けています。しかし、Ajaxがセキュリティにもたらす影響はないのでしょうか? その危険性は論じられているでしょうか?
著
者が、実世界のコードを調べたところ、SQLインジェクションやクロスサイトスクリプティングなどのセキュリティ脆弱性がゴロゴロと見つかったのです。
もっともっと深く掘り下げて論じられるべきなのに、こうした典型的なWeb脆弱性が無視されたり、オマケ程度にしか触れられていないのは大きな問題です。

過度に粒度の細かいWebサービス、アプリケーション制御フローの改竄、マッシュアップ方式の開発における安全とは言えない慣行、認証メカニズムの容易なバイパスといった「Ajaxならではの危険」も大きな問題です。
つ
まり、AjaxはデスクトップアプリケーションとWebアプリケーション双方の利便性を備えている反面、同時にセキュリティ上の弱点も双方から本質的に受
け継いでいるのです。Ajaxアプリケーションは、潜在的脆弱性のパーフェクトストーム(史上かつてなかった嵐)を巻き起こしているのです。
それなのに、セキュリティは大方の開発者にとって二の次になっているように見受けられるのです。
著
者らは、こうした在り方を変えたいと本書を執筆しました。Ajaxを利用して最新最強の機能を実装したアプリケーションを開発したいとは思っているもの
の、安全な開発を第一に考える開発者のために。品質保証を担当するエンジニアや侵入テストのプロフェッショナルのために。

本書では一貫し
て、Ajaxアプリケーションに潜むセキュリティ上の問題を単に提示するだけでなく、そうした問題を克服し、より厳格で安全なコードを実現するためのアド
バイスを提供することに重点を置いています。また、Prototype、DWR、MicrosoftのASP.NET
AJAXといった一般的なAjaxフレームワークを分析し、こうしたフレームワークが備えているセキュリティ保護機能とはどのようなものであるのか、開発
者自身が追加すべき機能は何であるのかについても明らかにしています。
本書は決してセキュリティの観点からAjaxを馬鹿げているとか使い物
にならないなどと否定するものではありません。そうではなく、豊富な機能を実現し、強力で、目から鱗が落ちるほど役立つと同時に、悪意ある攻撃者に対して
も頑強で安全なAjaxアプリケーションの開発に役立つリソースとなることを願っています。


著者について

Billy Hoffman(ビリー・ホフマン)
HP
Software社HPセキュリティ研究所の主任研究員。Toorcon、Shmoocon、Phreaknic、Summercon、
Outerz0ne などのハッカーカンファレンスでは常連の発表者であり、RSA、Infosec、AJAXWorld、Black
Hatといったセキュリティイベントでも講演を行っている。

Bryan Sullivan(ブライアン・サリバン)
HP Software 社アプリケーションセキュリティセンター部門のソフトウェア開発マネージャー。インターネットセキュリティソフトウェア業界を専門としている。Webアプリケーションのセキュリティ脆弱性を開発段階で分析するDevInspect製品を開発。

【監訳者略歴】 GIJOE(後藤峰陽)
東京出身。大学時代は生物学を専攻し、修士課程修了後、旭化成を経て、現在は株式会社ピークにてネットワーク管理を担当。著書に、『Customizing.XOOPS』(毎日コミュニケーションズ)、『PHPサイバーテロの技法 攻撃と防御の実際』(ソシム)がある。