安全なウェブサイトの作り方での目次。
2.1 ウェブサーバのセキュリティ対策について
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
2.6 WAF によるウェブアプリケーションの保護
2.7 携帯ウェブ向けのサイトにおける注意点
前回は、WAFによるウェブアプリケーションの保護を学んだ。
今回は 「携帯ウェブ向けのサイトにおける注意点」について。
ラスト!
1.携帯ウェブ向けのサイトにおける注意点
これから先、携帯向けサイトを作るかどうかわからないけど、勉強のため。
駆け足で行くよ!
セッション管理に関する注意点
2009 年5 月までは、一部の携帯電話事業者(以下、「キャリア」とする)のすべての機種において、携 帯ウェブのブラウザが、HTTP の基本的な機能であるCookie とReferer に非対応でした。そのため、やむ を得ずそれに合わせてウェブサイトを設計する必要がありました。
Cookieを利用できない携帯電話に対してのセッション管理について。
URLにセッションIDを持たせるという方法がとられたとのこと・・・
クロスサイト・スクリプティングに関する注意点
携帯ウェブのブラウザがJavaScript に対応していなかった時代には、携帯ウェブ向けのサイトにおい てクロスサイト・スクリプティング対策が不要と考えられることがありました。しかし、今日では携帯ウェブ のブラウザによるJavaScript 対応も進みつつあることから、PC 向けウェブサイトと同様に、クロスサイト・ スクリプティング対策が必要です。
昔の携帯電話は JavaScriptに対応していなかったため、クロスサイトスクリプティングは不要だと考えられていた。
そのノリでコーディングすんなよってこと。
携帯IDの使用に関する注意点
利用者が携帯電話でウェブサイトを閲覧する際に、その端末や契約者ごとに割り振られた携帯電話の識別子(以下、「携帯ID」とする)がウェブサイトに通知されることがあります。
~中略~
ウェブサイトによっては、携帯ID だけで利用者を認証する設計のものがあります。このような認証方式は、しばしば「かんたんログイン」と呼ばれます。
携帯IDによる「かんたんログイン」を使うなよってこと。
認証情報に関する注意点
ここは今さらそんなことやんねーよ!ってことが羅列されているので、各自読んでみると面白い。
セキュリティの概念がなかったころ、利用者を一意に特定するための方法が説明されている。
時代を感じることができる。
以上で、安全なウェブサイトの作り方を読み込むのは終わり!
1章、2章と見てきて、実は3章まであるのだが、ここは実装例が記されている。
自分としては、ここを読み込むよりも徳丸さんの「安全なウェブアプリケーションの作り方」を読みたい。
ので、こっちを先に読んで時間があれば3章も読むという形をとる!
コメント