こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

締切り済みの質問

ASP開発のセキュリティで気をつけるべきことを教えてください

よろしくお願いします。

ASPで自社用出勤管理システムを作りました。
ASPのプロジェクトに携わった経験はほとんどなく、
ASP経験者が一人もいないのでほぼ独学でASP技術を学びました。
そのためプログラミング技術は身につきましたが、ASPシステムを
リリースする際に考慮すべき要素がわからないのです。
例えばセキュリティの面で気をつけるべきこととか・・・。
インターネットを利用して出勤管理を行うことになるので、
ログイン画面のシステムがばれちゃわないかなあ?とか、心配なことがあります。

ASPシステムのユーザリリース経験のある方、よきアドバイスをお願いいたします。

ちなみに見られちゃまずい部分(ユーザ承認システムなど)はサーバサイドに
限り動くように作っていますので、クライアントにソースが渡るようにはつくっていません。

投稿日時 - 2001-03-08 10:42:56

QNo.49157

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

6人が「このQ&Aが役に立った」と投票しています

回答(2)

ANo.2

そういう事でしたか……。
個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
セキュリティ云々以前の問題な気がするのですが、そういう事は別とするなら、

MSDN Weekly Newsの98/06/24 (Vol.62)からのコラムを一読されてはどうでしょうか。
古い記事ではありますが、基本を再確認できそうです。

参考URL:http://www.microsoft.akadns.net/japan/developer/weeklynews/bknum.asp

投稿日時 - 2001-03-11 18:58:24

補足

>個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
>セキュリティ云々以前の問題な気がするのですが

ASPシステムはユーザが発注し、ソフトハウスが受けてますよ。需要と供給があります。だから経験者の方にお聞きしたかったのです。

投稿日時 - 2001-03-12 09:45:41

ANo.1

ASPの開発に携わったことがないので、一般的な話を。

・システムそのものの安全性を確認する
OSがセキュリティホールを持っていれば悪意を持ったユーザに狙われる可能性があります。
最近は中国からのアタック(ウェブの改竄)が続き、Microsoftからも毎日
セキュリティパッチが出ています。せめて一度確認する事が必要だと思います。

・ユーザの入力を仮定しない
ユーザはどんなパラメータを与えてくるかという事を仮定してはいけません。
「こんなのあり得ない」というパラメータを与えてくるかもしれません。
例えばパラメータをそのまま外部コマンドの引数に使うことは避けた方が良いでしょう。
特に、「><|`&」などの特殊な意味を持つ文字が含まれる場合誤動作では済まない場合もあります。

・ユーザ同士でのセキュリティも配慮する
よくある事で、会社などだと、人のPCを借用する事がよくあります。
その場合、そのPCの持ち主でないと見ることができないはずの情報を
見ることができてしまいます。特権を持つユーザにはそのことをちゃんと教育しておきましょう。

・重要な物にはログを残す
ログを機械的に信用するのは問題ですが、トラブルがあった際に役立ちます。
そのログを第三者が見ることができるのはマズイですが、原因不明の誤動作や
ハングアップの際に使えますね。データ消失の復旧の助けにもなるし。

・途中の画面をブックマークされる事に対処する
どういう形でセッション管理をされているのか判りませんが、
セッション途中をブックマークされ、そこに後日飛んでこられても大丈夫な様に
作っておく事が必要です。

これくらいかなぁ。

あとは、他人の良質なソースを色々読むことです。

投稿日時 - 2001-03-09 10:40:37

補足

もちろん一般的な話はプロなので踏まえています。
誰もがアクセスできるインターネットを利用した、ASPシステム独自のセキュリティについてを知りたかったのです。

投稿日時 - 2001-03-11 12:54:28

あなたにオススメの質問