27
2011

最近読んだプログラミング本

CATEGORY
前回読みたいと書いてた本を読み終わったので感想(リンクはNot AA)。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

開発者向けのセキュリティ対策全般を扱った本。超良本。Webアプリを作る人は必ず一度目を通しておくべき。むしろWebアプリ作ってる会社が職場に一冊は買い置きしておいて、これで講習すべき内容。たぶん、今後そういう扱いをされてくんじゃないかと思う。

内容的には、Webアプリに関連する脆弱性について、原理から影響、対策まで、懇切丁寧に解説している。
また、ログインやアカウント管理、ログ出力といったありがちな機能についても、どのように実装しなければいけないかが解説されている。
その解説についても、特定の言語やプラットフォームにとらわれずに、こういう原理だからこういった対策をしなければならない、例えばPHPでは~、といったように、対策がオマジナイにならないようにしっかりとした記述がなされている。
また、複数の対策方法が存在する場合も、こちらの方法はこうしたメリット・デメリットがあり一方こちらは~、といった形に、きちんと比較やその方法を薦める理由が明記されており、納得した上で選択することができるようになっている。

こうした対策マニュアルとしては、以前から書籍や、Web上にもIPAの「セキュア・プログラミング講座」などが存在したが、そうしたものの集大成という雰囲気。
(というか、著者の方はIPAの非常勤研究員らしいので、本当に上のページの集大成なのかもしれない。)
セキュリティ対策は日々知識の更新が必要だが、少なくとも2011年現在では内容も最新なので、とりあえずこの本一冊あればそうそう困ることは無いと思う。


自分はそれなりにセキュリティ関係には詳しいつもりだったけれど、改めてこうして読んでみると、え?そんなところにも抜け道があるの?みたいな話題が結構ぼろぼろ・・・(汗
アカウント管理の実装方法みたいなネタについても、ありきたりな話のようで真面目に考察・説明しているのって珍しいのではないかと思う。
(自分が知らないだけだったらサーセン。)
去年仕事したときも、パスワード変更とか仮パスワードとかどうしよう?と悩んだけれど、そのときこういう道標があったら非常に助かったのに、、、と感じた。

本屋で目にすると、あまりの分厚さに威圧されるかもしれないが、内容は読みやすいし、項目がはっきり分かれているので仕事で使う際にはピンポイントで関連する部分だけ読むこともできる。
脆弱なWebアプリを作らないためにも、開発者なら一度は目を通しておいて損は無いはず。


# これまで一緒に仕事した人の中には、え?hiddenパラメータ書き換えるなんてできるの?みたいな人が結構居たので、この本が広く読まれて、そういう状況が改善されるといいなぁ・・・。

# しかし、これだけいろんなところに脆弱性・対策が必要だと、もはや個々の開発者どころか会社でも対処しきれないレベルになっている気が。
# もうWebアプリというプラットフォーム自体に抜本的な改革が必要な時代なんじゃなかろうか?改革できるとは思わないが。
スポンサーサイト

Tag: 書籍

0 Comments

Leave a comment