1. ホーム >
  2. 書籍 >
  3. めんどうくさいWebセキュリティ

めんどうくさいWebセキュリティ

監修


形式:
書籍
発売日:
ISBN:
9784798128092
価格:
本体2,980円+税
仕様:
A5・400ページ
分類:
Network・UNIX
  • このエントリーをはてなブックマークに追加

ブラウザセキュリティの第一人者による広くて深い一冊

“Web セキュリティ”と聞くと、どうにも腰を上げるのが億劫になってしまいがち。けれども、Web の原動力を支えるには必要不可欠な技術要件。その現状を、深い洞察とともにコンパクトにまとめました。本書はWeb アプリケーションセキュリティの世界で何が起きているか、その現状をシステマチックかつ徹底的な分析をした初めての本です。


第1章 Webアプリケーションの世界におけるセキュリティ

情報セキュリティとは
Webが歩んできた道
脅威の進化と変遷

第I部 Webの構成要素

第2章 URLから始めよう

URLの構造
予約文字とパーセントエンコーディング
一般的なURLのスキームとその機能
相対URLの解決
セキュリティエンジニアリングチェック表

第3章 HyperText Transfer Protocol

HTTPトラフィックの基礎構文
HTTPリクエストの種類
サーバーレスポンスコード
キープアライブセッション
チャンクデータの送受信
キャッシュの振る舞い
HTTPクッキーのセマンティクス
HTTP認証
プロトコルレベルでの暗号化およびクライアント認証
セキュリティエンジニアリングチェック表

第4章 HyperText Markup Language

HTMLドキュメントを支える基本概念
ドキュメントのパースモード
HTMLパーサーの振る舞いを理解する
エンティティエンコーディング
HTTP/HTMLを統合するセマンティクス
ハイパーリンクとコンテンツのインクルード
セキュリティエンジニアリングチェック表

第5章 Cascading Style Sheets

CSSの基本構文
パーサーの再同期に関連するリスク
文字エンコーディング
セキュリティエンジニアリングチェック表

第6章 ブラウザサイドスクリプト

JavaScriptの基本的な特徴
標準オブジェクト階層
スクリプトの文字エンコーディング
コードのインクルードモードとネストの危険性
死んだはずだよ:Visual Basic
セキュリティエンジニアリングチェック表

第7章 HTML以外のドキュメント

プレーンテキストファイル
ビットマップ画像
オーディオ/ビデオ
XMLベースのドキュメント
描画不可能なファイルタイプについて一言
セキュリティエンジニアリングチェック表

第8章 ブラウザプラグインを使用したコンテンツ描画

プラグインの起動
ドキュメント描画ヘルパー
プラグインベースのアプリケーションフレームワーク
Sun Java
ActiveXコントロール
その他のプラグインとの共存
セキュリティエンジニアリングチェック表

第II部 ブラウザのセキュリティ機能

第9章 コンテンツ分離ロジック

DOMの同一生成元ポリシー
XMLHttpRequestにおける同一生成元ポリシー
Webストレージと同一生成元ポリシー
クッキーのセキュリティポリシー
プラグインのセキュリティ規則
曖昧な生成元と意図とは異なる生成元のコピー
その他の生成元
セキュリティエンジニアリングチェック表

第10章 生成元の継承

about:blankで生成元を継承する
data:URLでの継承
javascript:URLとvbscript:URLにおける継承
制約を受ける擬似URLについて一言
セキュリティエンジニアリングチェック表

第11章 同一生成元規則以外のこと

ウィンドウとフレームのインタラクション
ドメインを超えたコンテンツのインクルード
プライバシーに関連した副チャネル
その他の抜け穴とその使用法
セキュリティエンジニアリングチェック表

第12章 その他のセキュリティ境界

要注意のスキームへのナビゲーション
内部ネットワークへのアクセス
禁止ポート
サードパーティのクッキーを制限する
セキュリティエンジニアリングチェック表

第13章 コンテンツを識別する仕組み

ドキュメントタイプの検出ロジック
文字セットの処理
セキュリティエンジニアリングチェック表

第14章 不正なスクリプトの取り扱い

DoS攻撃
ウィンドウの位置と外観についての問題
ユーザーインターフェイスへのタイミングアタック
セキュリティエンジニアリングチェック表

第15章 外部サイトの特権

権限:ブラウザ管理のサイトとプラグイン管理のサイト
フォームベースのパスワードマネージャー
Internet Explorerのゾーンモデル
セキュリティエンジニアリングチェック表

第III部 次にくるもの

第16章 新たなセキュリティ機能

セキュリティモデル拡張フレームワーク
セキュリティモデルを制約するフレームワーク
その他の発展
セキュリティエンジニアリングチェック表

第17章 その他のブラウザの機構について

URLレベル/プロトコルレベルの提案
コンテンツレベルの機能
I/Oインターフェイス

第18章 広く知られているWebの脆弱性

Webアプリケーションに固有な脆弱性
Webアプリケーション設計時の注意点
サーバーサイドのコードに見られる一般的な問題

付録A エピローグ 付録B リソース
本書はダウンロードファイルの提供はございません。

書籍への問い合わせ

正誤表、追加情報をご確認の上、こちらよりお問い合わせください

書影の利用許諾について

本書籍に関する利用許諾申請はこちらになります

追加情報はありません。

本書に誤りまたは不十分な記述がありました。下記のとおり訂正し、お詫び申し上げます。
なお、こちらは紙の書籍の正誤となります。

ご購入刷数 最終更新日:2013年01月28日
発生刷 ページ数 改定刷 電子書籍改定 内容 登録日
1刷
カバー折り返し
未定 未定
第19章
エピローグ
第20章
リソース
付録A
エピローグ
付録B
リソース
2012.07.05
1刷 005
下から8行目
未定 未定
そうした脆弱性と共存していくことを学ぶととも、
そうした脆弱性と共存していくことを学ぶとともに、
2012.06.29
1刷 030
図2-1内
未定 未定
login.password
login:password
2012.06.29
1刷 030
下から5行目
未定 未定
多くのブラウザやサードパー階層プリケーションは、
多くのブラウザやサードパーティアプリケーションは、
2012.06.29
1刷 049
上から6行目
未定 未定
view-source:viewsource:javascript:alert(1) とする場合もあります
view-source:view-source:javascript:alert(1) とする場合もあります
2012.06.29
1刷 069
HTTPリクエストの種類の下5行目
未定 未定
なzぜこれがないんでしょう
なぜこれがないんでしょう
2012.07.18
1刷 094
脚注
未定 未定
強調的
協調的
2012.07.26
1刷 096
下から12行目
未定 未定
うまいこと取り込むもできます
うまいこと取り込むこともできます
2012.07.05
1刷 097
本文下から18行目
未定 未定
「<!-」で始まり、「->」で終了します
「<!--」で始まり、「-->」で終了します
2012.07.05
1刷 100
2つ目の網掛部分
未定 未定
<img ... title=' ' onerror=' alert(1)'>
<img ... title=`` onerror=` alert(1)`>
2012.07.05
1刷 104
最終行
未定 未定
XHMLでは危険です
XHTMLでは危険です
2012.07.05
1刷 118
最下行
未定 未定
〓※イコールの上に山カッコ※
^=
2012.06.28
1刷 122
最下行
未定 未定
〓※イコールの上に山カッコ※
^=
2012.06.28
1刷 131
上から2行目
未定 未定
たどり着つくことは
たどり着くことは
2012.07.05
1刷 135
下から8行目
未定 未定
eval("alert(Hi mom!)")
eval("alert(\"Hi mom!\")")
2012.06.29
1刷 148
3つ目の網掛け部分
未定 未定
<img src="test.jpg" alt=" ' 'onload=alert(1)">
<img src="test.jpg" alt="` `onload=alert(1)">
2012.07.05
1刷 148
4つ目の網掛け部分
未定 未定
<img src=test.jpg alt=' ' onload=alert(1)>
<img src=test.jpg alt=``onload=alert(1)>
2012.07.05
1刷 148
本文11行目
未定 未定
バッククォート(‘)
バッククォート(`)
2012.07.05
1刷 148
最終行
未定 未定
適切な振る舞う必要がない
適切に振る舞う必要がない
2012.07.18
1刷 149
上から12行目(2番目の網掛け部分)
未定 未定
top.location.path = "/new_path.html";
top.location.pathname = "/new_path.html";
2012.06.29
1刷 152
下から5行目
未定 未定
setTime(...)のパラメータ
setTimeout(...)のパラメータ
2012.06.29
1刷 154
チェックポイント「<script>ブロック内の単独の文字列」内
未定 未定

「<>」、「>>」

「<」、「>」
2012.07.02
1刷 159
上から15行目
未定 未定
Apple Quicktime
Apple QuickTime
2012.06.28
1刷 170
上から16行目(NOTE内1行目)
未定 未定
<apple>タグ
<applet>タグ
2012.07.02
1刷 173
12行目
未定 未定
十年以上にわたって、Windows Media Player、RealNetworks RealPlayer、Apple QuickTime はオンラインのマルチメディアを再生するための基盤としての役割を10年ほどにわたって担ってきました
「十年以上にわたって、Windows Media Player、RealNetworks RealPlayer、Apple QuickTime はオンラインのマルチメディアを再生するための基盤としての役割を担ってきました
2012.07.02
1刷 175
上から5行目
未定 未定
とく目立つのがAdobe
とくに目立つのがAdobe
2012.06.29
1刷 177
上から17行目
未定 未定
asfuntion:スキーム
asfunction:スキーム
2012.07.05
1刷 182
網掛部分下から2行目
未定 未定
sheet.SaveAs("c:\spreadsheet.xls");
sheet.SaveAs("c:\\spreadsheet.xls");
2012.07.05
1刷 192
上から3行目
未定 未定
exampl.com など
example.com など
2012.07.05
1刷 206
上から2行目
未定 未定
HTTPのようにしか<見えない
HTTPのようにしか見えない
2012.07.05
1刷 209
2行目(2行目中に2回) 5行目
未定 未定
sameorigin
sameDomain
2012.07.18
1刷 209
13行目
未定 未定
allowScriptAccess=none
allowScriptAccess=never
2012.07.18
1刷 216
下から2行目
未定 未定
〈meta httpequiv="Set-Cookie" ...>
<meta http-equiv="Set-Cookie" ...>
2012.06.29
1刷 216
「ローカルファイル」からの3行目
未定 未定
同一生成ポリシー
同一生成元ポリシー
2012.07.18
1刷 228
下から6行目
未定 未定
javascirpt: URL
javascript: URL
2012.07.18
1刷 235
下から7行目
未定 未定
frmaes[] などのプロパティ
frames[] などのプロパティ
2012.06.28
1刷 236
上から2行目
未定 未定
fames[] プロパティ
frames[] プロパティ
2012.06.28
1刷 240
上から9行目
未定 未定
もってほか
もってのほか
2012.07.18
1刷 241
上から8行目
未定 未定
X-Frame-Options: same-origin
X-Frame-Options: sameorigin
2012.07.18
1刷 268
下から6行目
未定 未定
役割与えられている
役割を与えられている
2012.07.18
1刷 270
上から15行目
未定 未定
.hmtl
.html
2013.01.28
1刷 275
上から5行目
未定 未定
crossdoman.xml ポリシー
crossdomain.xml ポリシー
2012.06.29
1刷 279
最下行
未定 未定
選択を誤るとと
選択を誤ると
2012.06.28
1刷 280
表13-1 UTF-8のBOMシーケンス
未定 未定
xEF 0xBB 0xBF
0xEF 0xBB 0xBF
2012.07.18
1刷 285
すべてのWebサイトのためのよきセキュリティ習慣 チェック項目1
未定 未定
X-Content-Options: nosniff
X-Content-Type-Options: nosniff
2012.06.28
1刷 285
「攻撃者が作成したコンテンツを一部に含むドキュメントを生成する場合」の「チェック項目2」
未定 未定
Context-Typeヘッダ
Content-Typeヘッダ
2012.06.28
1刷 293
脚注4の3行目
未定 未定
InE と Firefox
IE と Firefox
2012.06.29
1刷 293
脚注4の1行目
未定 未定
例外が発生することはありませんん
例外が発生することはありません
2012.07.09
1刷 312
上から4行目
未定 未定
<!--savedfromurl=(0024)http://fuzzybunnies.com/-->
<!--saved from url=(0024)http://fuzzybunnies.com/-->
2012.07.05
1刷 327
本文下から3行目
未定 未定
大胆に変化させるも可能だったので
大胆に変化させることも可能だったので
2012.07.05
1刷 329
本文上から15行目
未定 未定
report-urlキーワード
report-uriキーワード
2012.07.05
1刷 335
NOTE内4行目
未定 未定
混乱がを最小限
混乱が最小限
2012.06.29
1刷 340
上から11行目
未定 未定
XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
2012.06.28
1刷 342
チェック項目「XSSフィルタリング」
未定 未定
XSS-Protection: 1; mode=block
X-XSS-Protection: 1; mode=block
2012.06.28
1刷 342
チェック項目「XSSフィルタリング」
未定 未定
XSS-Protection: 0
X-XSS-Protection: 0
2012.06.28
1刷 351
上から5行目
未定 未定
略称はCWD
略称はCWE
2013.01.28
1刷 352
上から3行目
未定 未定
クロスサイトスクリプトインジェクション
クロスサイトスクリプトインクルージョン
2012.06.28
1刷 353
下から7行目
未定 未定
キャッシュポインゾニング
キャッシュポイゾニング
2012.06.28

関連書籍