めんどうくさいWebセキュリティ
著:Michal Zalewski
訳:新丈 径
監:上野 宣
内容紹介
ブラウザセキュリティの第一人者による広くて深い一冊
“Web セキュリティ”と聞くと、どうにも腰を上げるのが億劫になってしまいがち。けれども、Web の原動力を支えるには必要不可欠な技術要件。その現状を、深い洞察とともにコンパクトにまとめました。本書はWeb アプリケーションセキュリティの世界で何が起きているか、その現状をシステマチックかつ徹底的な分析をした初めての本です。
目次
第1章 Webアプリケーションの世界におけるセキュリティ情報セキュリティとは
Webが歩んできた道
脅威の進化と変遷
第I部 Webの構成要素
第2章 URLから始めようURLの構造
予約文字とパーセントエンコーディング
一般的なURLのスキームとその機能
相対URLの解決
セキュリティエンジニアリングチェック表
第3章 HyperText Transfer ProtocolHTTPトラフィックの基礎構文
HTTPリクエストの種類
サーバーレスポンスコード
キープアライブセッション
チャンクデータの送受信
キャッシュの振る舞い
HTTPクッキーのセマンティクス
HTTP認証
プロトコルレベルでの暗号化およびクライアント認証
セキュリティエンジニアリングチェック表
第4章 HyperText Markup LanguageHTMLドキュメントを支える基本概念
ドキュメントのパースモード
HTMLパーサーの振る舞いを理解する
エンティティエンコーディング
HTTP/HTMLを統合するセマンティクス
ハイパーリンクとコンテンツのインクルード
セキュリティエンジニアリングチェック表
第5章 Cascading Style SheetsCSSの基本構文
パーサーの再同期に関連するリスク
文字エンコーディング
セキュリティエンジニアリングチェック表
第6章 ブラウザサイドスクリプトJavaScriptの基本的な特徴
標準オブジェクト階層
スクリプトの文字エンコーディング
コードのインクルードモードとネストの危険性
死んだはずだよ:Visual Basic
セキュリティエンジニアリングチェック表
第7章 HTML以外のドキュメントプレーンテキストファイル
ビットマップ画像
オーディオ/ビデオ
XMLベースのドキュメント
描画不可能なファイルタイプについて一言
セキュリティエンジニアリングチェック表
第8章 ブラウザプラグインを使用したコンテンツ描画プラグインの起動
ドキュメント描画ヘルパー
プラグインベースのアプリケーションフレームワーク
Sun Java
ActiveXコントロール
その他のプラグインとの共存
セキュリティエンジニアリングチェック表
第II部 ブラウザのセキュリティ機能
第9章 コンテンツ分離ロジックDOMの同一生成元ポリシー
XMLHttpRequestにおける同一生成元ポリシー
Webストレージと同一生成元ポリシー
クッキーのセキュリティポリシー
プラグインのセキュリティ規則
曖昧な生成元と意図とは異なる生成元のコピー
その他の生成元
セキュリティエンジニアリングチェック表
第10章 生成元の継承about:blankで生成元を継承する
data:URLでの継承
javascript:URLとvbscript:URLにおける継承
制約を受ける擬似URLについて一言
セキュリティエンジニアリングチェック表
第11章 同一生成元規則以外のことウィンドウとフレームのインタラクション
ドメインを超えたコンテンツのインクルード
プライバシーに関連した副チャネル
その他の抜け穴とその使用法
セキュリティエンジニアリングチェック表
第12章 その他のセキュリティ境界要注意のスキームへのナビゲーション
内部ネットワークへのアクセス
禁止ポート
サードパーティのクッキーを制限する
セキュリティエンジニアリングチェック表
第13章 コンテンツを識別する仕組みドキュメントタイプの検出ロジック
文字セットの処理
セキュリティエンジニアリングチェック表
第14章 不正なスクリプトの取り扱いDoS攻撃
ウィンドウの位置と外観についての問題
ユーザーインターフェイスへのタイミングアタック
セキュリティエンジニアリングチェック表
第15章 外部サイトの特権権限:ブラウザ管理のサイトとプラグイン管理のサイト
フォームベースのパスワードマネージャー
Internet Explorerのゾーンモデル
セキュリティエンジニアリングチェック表
第III部 次にくるもの
第16章 新たなセキュリティ機能セキュリティモデル拡張フレームワーク
セキュリティモデルを制約するフレームワーク
その他の発展
セキュリティエンジニアリングチェック表
第17章 その他のブラウザの機構についてURLレベル/プロトコルレベルの提案
コンテンツレベルの機能
I/Oインターフェイス
第18章 広く知られているWebの脆弱性Webアプリケーションに固有な脆弱性
Webアプリケーション設計時の注意点
サーバーサイドのコードに見られる一般的な問題
付録A エピローグ付録B リソース
ISBN:9784798128092
。出版社:翔泳社
。判型:A5
。ページ数:400ページ
。定価:2980円(本体)
。発行年月日:2012年06月
。発売日:2012年06月18日
。国際分類コード【Thema(シーマ)】 1:TJK。