@kyanny's blog

My life. Opinions are my own.

1. Webアプリケーションの脆弱性とは

  • 脆弱性とは
    • 悪用できるバグ
    • セキュリティバグ
      • バグ == アプリケーションの不具合である、という認識をはっきりもつこと、異常なのだと認識することが大事。
  • 運営者のうける被害、利用者の受ける被害
  • ボットネットワーク構築に加担してしまう
  • セキュリティバグとセキュリティ機能の違い

たとえば、通信路をHTTPSで暗号化していない状態はバグではなく、(狭義の)脆弱性でもありませんが、通信内容を盗聴される可能性があります。HTTPSを利用して通信路を暗号化する例のように、積極的に安全性を強化する機能のことを本書では「セキュリティ機能」と呼ぶことにします。バグをなくすことが当たり前のことであるように、脆弱性をなくすことも当たり前です。一方、セキュリティ機能を要件として盛り込むか否かは、費用との兼ね合いでアプリケーション発注者が決めるべきことです。

    • アプリケーション開発者の立場では、セキュリティ機能を盛り込む意義や必要性、それがない場合どういうリスクがあるのかを理解した上で、発注者なりプロジェクトマネジメント層に提案する、という姿勢が求められる。