水無月ばけらのえび日記

発注者のためのWebシステム／Webアプリケーション セキュリティ要件書

公開: 2009年4月5日19時15分頃

「アイアクト、Webサイトのセキュリティ要件仕様書を無償公開 (enterprise.watch.impress.co.jp)」だそうで、「発注者のためのWebシステム／Webアプリケーション セキュリティ要件書 (xn--v1t6us6kb66awvj.jp)」というものが公開されていますが……。

うーむ。関わっている方々は、やればできる方たちだと思うのですけれど。日本語としてのクオリティは気にしないとして、個人的によく分からなかったり疑問に思ったりしたところをいくつかメモしておきます。

これは何を言っているのでしょうか。「認証済みユーザーのみに表示・実行を許可すべき画面や機能」に認証を実施するのは、あたりまえです。それができていなかったら明らかに不具合でしょう。何も言っていないに等しいと思うのですが。

7文字以上としている意味が分かりません。英数字をすべて含むパスワードは、英字26字と数字10字をすべて含むのですから、必然的に36文字以上になりますよね。:-)

※たぶん、英字と数字の両方を含むということが言いたいのだろうと思いますが、意味がだいぶ違ってきますので。

それはそれとして、やはり7文字の根拠がよく分かりません。経験上、8文字以上としていることとが多いように思いますが……。

後者の表現がアレすぎるのは気にしないとして、この条件では input type="hidden" にパスワードを出力するようなケースが許されるのかどうかがハッキリしません。画面には表示されないので hidden や input type="psassword" に対してエコーバックするのはOK、というポリシーのように読めますが、それで良いのでしょうか。

※ちなみに、Cookieにパスワードをセットすることは別項目で禁止されています。

ちなみに、WCAG2.0 (www.w3.org)では1時間での強制タイムアウトはNGです。2.2.1(Timing Adjustable) (www.w3.org)の項目では、操作に時間制限をつけないようにする、時間制限をユーザが延長できるようにする、といったことが求められていて、それができない場合、"20 Hour Exception: The time limit is longer than 20 hours." ……すなわち、20時間以上であれば許容するとしています。その理由はこんな感じで、

まあ、まる一日あれば良いでしょうということのようです。

ともあれ、理由も説明せずに1時間で強制タイムアウトしろと言われても困ります。まあ、「セッションタイムアウトの時間については、サービスの内容に応じて調整することが必要になります。」とありますので、WCAGを尊重したい場合は調整すれば良いのでしょうけれど。

なぜ ' をエスケープしなければならないのかが謎です。5.2では

と規定しているので、原則として ' をエスケープする必要はないと思うのですが。

※「タグの属性値」という表現についてはスルーで。

この書き方ですとアプリケーションが出力する全てのURLに適用しなければならないように読めますが、そんなアプリケーション見たことありません。「ユーザーに任意のURLを入力させるとき……」あるいは「ユーザーが入力したURLを出力するとき……」ということで良いかと思うのですが、そうできない理由が何かあるのでしょうか。

イベントハンドラは、クライアント側のスクリプトで動的生成されることが多いです。jQueryなんか使っていると、いつの間にかbodyのonloadが大変な事になっていたりします。そういうことまで禁止されているのかどうか、判然としない書き方ですね。

「利用者のWebブラウザ環境を操作」して「セキュリティ設定の変更」をすることができるなら、そのブラウザには大変な脆弱性があるということになりそうです。アプリケーション側から「操作する」のと、ユーザに指示して「操作させる」のはだいぶ違うわけで、そこは混同しないようにした方が良いかと思うのですが。

理由はそれで良いのでしょうか。任意項目ですから、「一目で確認できれば良い」と解釈されてあっさりスルーされそうですが……。

• 「発注者のためのWebシステム／Webアプリケーション セキュリティ要件書」にコメントを書く

関連する話題: セキュリティ / フレーム