スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  1. --/--/--(--) --:--:--|
  2. スポンサー広告|
  3. トラックバック(-)|
  4. コメント(-)
  5. | 人気ブログランキング
  6. | FC2 Blog Ranking
  7. | はてなブックマークに追加
  8. | Buzzurlにブックマーク
  9. | livedoor クリップに追加

安全なウェブサイトの作り方 改訂第3版(独立行政法人 情報処理推進機構 セキュリティセンター)公開

 何にも益して、安全性が第一ですよね。ウェブアプリケーションのセキュリティ実装はプログラマーにお任せするとして、ウェブサイトの運営者も安全性向上を最優先すべきです。利用者の不安を軽減することは成果に直結します。


<【独立行政法人 情報処理推進機構 セキュリティセンター】脆弱性関連情報取扱い:安全なウェブサイトの作り方 から引用>

 今回の改訂第3版では、実践的な脆弱性対策の普及促進のため、ウェブサイトに関する届出の約7割を占めているSQLインジェクションとクロスサイト・スクリプティングの脆弱性に関して、具体的な8つの「失敗例」を第3章として追加しました。

 また、第1章に「アクセス制御や認可制御の欠落」に関する根本的解決策を新たな節として追加しました。

 本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。

<引用 終わり>

 ウェブサイトの運営者には、特に第2章がありがたい情報です。SSL 暗号化通信や実在証明書付きの SSL サーバ証明書について、最低限の知識は持ちたいものです。

<引用>

第2章 ウェブサイトの安全性向上のための取り組み

  1. ウェブサーバのセキュリティ対策
    1. OS やソフトウェアの脆弱性情報を継続的に入手し、脆弱性への対処を行う
    2. ウェブサーバをリモート操作する際の認証方法として、パスワード認証以外の方法を検討する
    3. パスワード認証を利用する場合は、十分に複雑な文字列を設定する
    4. 不要なサービスやアカウントを停止または削除する
    5. 公開を想定していないファイルを、ウェブ公開用のディレクトリ以下に置かない
  2. DNS 情報の設定不備
    1. ドメイン名およびそのDNS サーバの登録状況を調査し、必要に応じて対処を行う
  3. ネットワーク盗聴への対策
    1. 重要な情報を取り扱うウェブページでは、通信経路を暗号化する
    2. 利用者へ通知する重要情報は、メールで送らず、暗号化されたhttps://のページに表示する
    3. ウェブサイト運営者がメールで受け取る重要情報を暗号化する
  4. パスワードの不備
    1. 初期パスワードは、推測が困難な文字列で発行する
    2. パスワードの変更には、現行パスワードの入力を求める
    3. 入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする
    4. パスワード入力のフォームでは、入力文字列を伏せ字で表示する
  5. フィッシング詐欺を助長しないための対策
    1. 実在証明書付きのSSL サーバ証明書を取得し、サイトの運営者が誰であるかを証明する
    2. フレームを利用する場合、子フレームのURL を外部パラメータから生成しないように実装する
    3. 利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先のURL として使用されるパラメータの値には、自身のドメインのみを許可するようにする

<引用 終わり>

◆関連記事

◆関連エントリー

スポンサーサイト
  1. 2008/03/11(火) 09:00:00|
  2. セキュリティ|
  3. トラックバック:0|
  4. コメント:0
  5. | 人気ブログランキング
  6. | FC2 Blog Ranking
  7. | はてなブックマークに追加
  8. | Buzzurlにブックマーク
  9. | livedoor クリップに追加
<<A.A.O.|クオリティ実態調査 独立行政法人・民間法人集計結果発表。「対応十分」なのは約1割 | ホーム | 島根県のホームページ管理システムが OSS として無償公開,地元企業が Ruby で開発(ITpro より)>>

コメント

コメントの投稿

管理者にだけ表示を許可する

トラックバック

トラックバックURLはこちら
http://48luck.blog9.fc2.com/tb.php/330-650d8aaa

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。