- 安全なWebサイト設計の注意点
- 本日の内容
- そもそもSSLとは?
- SSLが機能しない事態
- ユーザが確認するしかない
- 改竄されていないことの確認
- Net Securityサイト(バガボンド社)
- サーバ証明書の役割は?
- 攻撃の現実度は?
- セキュアシールの意味は?
- 駄目な事例
- なぜ駄目なのか
- 31箇条の鉄則
- 1.アドレスバーを隠さない
- 事例: 銀行
- ログイン画面
- 右クリックの禁止
- 実話
- 騙されるのは利用者の自業自得?
- 事例: SSLのシール
- 2.FRAMEを使わない
- 事例: 「暗号化されます」本当?
- 事例: IE 6でcookieを発行できず
- 3.ブラウザの設定変更を強要しない
- 極めて危険な設定
- 警告表示は飾り?
- 4.ユーザ名だけでログインさせない
- 登録情報更新
- メールマガジン登録時のセキュリティ不備
- 5.認証キーには秘密情報を
- ユーザーサービス
- ユーザー登録
- 法における識別符号の定義
- 警察庁担当者の見解
- この見解を紹介する意図
- 補足
- オンライン登録サービス
- 6.パスワードを4桁数字にしない
- 残高照会サービス
- 7.認証エラーで存在を暴露しない
- Web会員登録画面
- 問題点
- 9.パスワードリマインダの鉄則
- 事例: 危険な質問選択肢
- セッション実装の鉄則
- 10.公開ディレクトリに置かない
- catalog
- 10.公開ディレクトリに置かない
- 11.全てのアクセスを認証チェック
- 12.アクセス許可対象者を限定する
- 13.URLに秘密情報を入れない
- 14.セッションIDを使う
- 15.セッションIDは予測不能に
- 16.状態はすべてサーバ側に持たせる
- 17. XSS脆弱性を排除する
- 19.ログアウト機能を用意する
- 20.際どい操作はPOSTにする
- 21.ログイン前にセッションID発行しない
- 万が一に備える鉄則
- 25.個人情報閲覧に再度パスワードを
- 26.カード番号は全桁表示しない
- SSL使用時の鉄則
- 28.自己発行証明書で運用しない
- セキュリティの警告
- 自前のルート認証局を運営?
- 29.Cookieのsecureフラグを立てる
- https://とhttp://を混在させるには
- 30.何を暗号化するかを明確に
ご質問、コメント: