水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 消費者向け電子商取引サイトの運用における注意点

消費者向け電子商取引サイトの運用における注意点

2005年3月4日(金曜日)

消費者向け電子商取引サイトの運用における注意点

IPA の脆弱性のところ (www.ipa.go.jp)に、「注意喚起、啓発資料」という項目が追加されていますね。「消費者向け電子商取引サイトの運用における注意点 (www.ipa.go.jp)

こういうのをどんどん出していただけると良いのではないかと思います。が、微妙な点もいくつか。

パス・トラバーサルを回避するために、公開していないページ(ディレクトリ)に利用者セスできないよう、アクセス制限をしていますか?

ウェブブラウザの機能にある「上のディレクトリに移動」などを利用することで、非公開のページや、ディレクトリへのアクセスを許してしまう場合があります。このとき、本来利用者に見られてはならない情報を見られてしまう可能性があります。

対応の必要があるのは間違いないのですが、それは単なる丸見えであって「パス・トラバーサル」ではないですよね。

クロスサイト・スクリプティングによる情報の漏えいを防ぐために、利用者から入力された危険な(特殊な)文字を無害化していますか?

利用者がある程度自由に入力できる入力フォームにおいては、文字入力の際に"<" や ">" 、空白(Null)、また、それらを意味するUnicode 形式の文字列が入力されることで、ウェブサーバが実行可能な命令文であると認識し、命令が実行される場合があります。

これは「ウェブサーバが」ではなくて「ブラウザが」、ですね。ウェブサーバがコマンドと解釈するならコマンドインジェクションですし。「命令文」というのも微妙ですが……。

関連する話題: IPA / セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト