OWASPの安全なWebアプリケーション~ガイドにAjaxの章が追加された、ということで、インタビュー記事。
New chapter and verse on Ajax security
the Open Web Application Security Project (OWASP) is updating its Guide to Building Secure Web Applications to include a separate chapter on Ajax.
インタビューされているAndrew van der Stockさんは、オーストラリアのWebアプリケーション研究家の由。
Ajaxによる追加リスク
(1) 露出面が多い
(2) クライアント側の処理が多い - 脆弱、悪意
(3) コード挿入の手法が多い
(4) バックグラウンドでの( "asynchronous" )実行で気付きにくい、 session hijacking attacks (cross-site request forgery)
(5) data mashupsによるプライバシー侵外
認証、検証、業務ロジックはサーバに残すべき。
3層モデルを勧める。SOA層の前にweb app server、認証や検証をー元的に実施。
この記事で言及されているOWASP Guideをチェックしてみたら、現在3.0編集中。
http://www.owasp.org/index.php/OWASP_Guide_Project
V2でWebサービスも加わり、今回Ajaxも加わって、計310ページになってる。
これはなかなか読めないな。
Ajaxの章10 Ajax and other “rich” interface technologiesは16ページ。
Leave a comment