AjaxセキュリティのAjax
2008年10月05日 読書
タロタローグ ブログの思わず「遂にその日が来たか・・・」と思ってしまうAjax本発見。のタイトルを見て、「おぉ、どんなAjax本が発売されたのだろう」と思って期待してチェックしてみたら…
ア、アヤックス!
Ajax(エイジャックス)ではなく、
Ajax(アヤックス)!?
本が手元にないので細かく確認はできませんが、このユニフォームはオランダの名門フットボールチーム「アヤックス」では!?
去年の12月、 の中でこんなことを言いました。
肝心の内容の方は、
|
Ajaxセキュリティ
Billy Hoffman 毎日コミュニケーションズ 2008-09-26 by [Z]ZAPAnetサーチ2.0 |
ア、アヤックス!
Ajax(エイジャックス)ではなく、
Ajax(アヤックス)!?
本が手元にないので細かく確認はできませんが、このユニフォームはオランダの名門フットボールチーム「アヤックス」では!?
去年の12月、 の中でこんなことを言いました。
ここで言うAjaxは、オランダの名門フットボールチーム「アヤックス」ではなく、ウェブブラウザ内で非同期通信とインターフェイスの構築などを行う技術「エイジャックス」のことです。冗談で言っていたことが、まさかAjaxのセキュリティというプロフェッショナルな本の表紙に使われるとは…。アヤックスファンのサポーターが間違って買ってしまったらどうするのでしょうか?
肝心の内容の方は、
AjaxはWebアプリケーションを完全に変え、Web開発者はAjaxでできることの限界を拡大させ続けています。しかし、Ajaxがセキュリティにもたらす影響はないのでしょうか? その危険性は論じられているでしょうか?こんな感じでかなりマジメな内容っぽいです。セキュリティの本なので、ジョークは必要ありませんからね。それにしても、表紙とのギャップがすごい。
著者が、実世界のコードを調べたところ、SQLインジェクションやクロスサイトスクリプティングなどのセキュリティ脆弱性がゴロゴロと見つかったのです。もっともっと深く掘り下げて論じられるべきなのに、こうした典型的なWeb脆弱性が無視されたり、オマケ程度にしか触れられていないのは大きな問題です。
過度に粒度の細かいWebサービス、アプリケーション制御フローの改竄、マッシュアップ方式の開発における安全とは言えない慣行、認証メカニズムの容易なバイパスといった「Ajaxならではの危険」も大きな問題です。
つまり、AjaxはデスクトップアプリケーションとWebアプリケーション双方の利便性を備えている反面、同時にセキュリティ上の弱点も双方から本質的に受け継いでいるのです。Ajaxアプリケーションは、潜在的脆弱性のパーフェクトストーム(史上かつてなかった嵐)を巻き起こしているのです。
それなのに、セキュリティは大方の開発者にとって二の次になっているように見受けられるのです。
著者らは、こうした在り方を変えたいと本書を執筆しました。Ajaxを利用して最新最強の機能を実装したアプリケーションを開発したいとは思っているものの、安全な開発を第一に考える開発者のために。品質保証を担当するエンジニアや侵入テストのプロフェッショナルのために。
内容が良さそうなので、Ajaxセキュリティを勉強のためにポチりたいところでしたが、5040円もするので諦めました。