ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方
Tweet
著者である徳丸氏からご献本戴きました。
ありがとうございます。
476ページもあり、かつ内容もかなり濃いという大変読み応えのある本で、戴いてから少し時間がかかってしまいましたが、レビューを書かせて頂きたいと思います。
→ amazon 体系的に学ぶ 安全なWebアプリケーションの作り方 [amazon.co.jp]
本書はかなり人気のようで、Amazonでは発売後まもなく完売となってしまいました。
(こちらのブログエントリーによると増刷が決まっているとのことですので、しばらく待つと入荷されるのではないかと思います)
なお、下記のサイトではまだ購入できるようです。
また本屋によっては在庫が残っているところもあるようですので、探してみてはいかがでしょうか。
→ 丸善&ジュンク堂 [junkudo.co.jp]
→ 紀伊國屋書店BookWeb [bookweb.kinokuniya.co.jp]
→ オンライン書店ビーケーワン [www.bk1.jp]
著者は、HASHコンサルティング株式会社の徳丸浩氏で、Webアプリケーションのセキュリティ、特にかんたんログインの脆弱性など、ケータイのセキュリティに関する多くの発表を行っているため、当サイトでも過去に何度もブログや発表されたセキュリティ情報を、紹介記事として取り上げさせていただいたことがあります。
さて内容についてですが、章立ては次のようになっています。
- 1章 Webアプリケーションの脆弱性とは
- 2章 実習環境のセットアップ
- 3章 Webセキュリティの基礎 ~HTTP、セッション管理、同一生成元ポリシー
- 4章 Webアプリケーションの機能別に見るセキュリティバグ
- 5章 代表的なセキュリティ機能
- 6章 文字コードとセキュリティ
- 7章 携帯電話向けWebアプリケーションの脆弱性対策
- 8章 Webサイトの安全性を高めるために
- 9章 安全なWebアプリケーションのための開発マネジメント
出版社のサイトに、更に詳細な目次があります。
→ ソフトバンク クリエイティブ 体系的に学ぶ 安全なWebアプリケーションの作り方 [sbcr.jp]
全9章からなる構成となっており、上記サイトを見て貰えるとわかるのですが、かなり濃密な内容になっています。
(なんと書籍上では、目次だけで14ページもあります)
まさにこれ一冊でWebアプリのセキュリティについて網羅されている感じです。
また例として扱っている言語も、PHPをはじめとして、PerlやJava、VB.NETなど多岐にわたっています。
(中でも例が多く、一番詳しく扱われているのはPHPのようです)
一つ大きな特徴としては、脆弱性のサンプルを格納したVMWarePlayer用のCD-ROMが付属している点です。
ここ最近CD-ROM付きの書籍はすっかり減ってしまったので珍しいですね。
こういう形で脆弱性のサンプルを動かして学ぶことができるというのは、面白い試みだと思います。
これによって、読者が実際に脆弱性とその危険性を認識し、動作原理も理解しやすくなっていると思います。
各章の基本的な流れとしては、脆弱性の説明とそれが起きるケースの例をあげ、その対策法を解説していくという形になっているようです。
脆弱性とは何か、あると何故まずいのかといったところから、HTTPプロトコルの解説、攻撃の種類といった基本的なところから始まり、XSSやSQLインジェクション、CSRF、セッションハイジャックなどなどの各種具体的な手法まで、幅広いだけではなく、それぞれかなり濃密な解説がなされています。
これだけ網羅性が高く、かつ丁寧に書かれた書籍は、なかなか珍しいと思います。
加えて我々ケータイ開発者にとって嬉しいのは、「携帯電話向けWebアプリケーションの脆弱性対策」という形で、ひとつ専用の章が用意されていることです。
ここではキャリアのゲートウェイを通じてアクセスが行われるというケータイならではの特徴や各端末の技術仕様について、機種によってはクッキーが使えない点、またセキュリティの面から大きな話題を呼んだ「かんたんログイン」についてなどの解説が行われています。
この辺りはさすがケータイのセキュリティに強い徳丸氏の得意とするところということもあり、従来の書籍では触れられていないようなところまで、しっかりと解説されています。
Webアプリのセキュリティの基礎部分から高度なところまでカバーし且つ内容の濃い、非常に完成度の高い内容になっていると思います。
Webアプリケーションを開発している技術者の方には、ぜひ読んでおいて欲しい一冊です。
関連:
- ブックレビュー:WEB+DB PRESS vol.61(2011年2月発売号 特集:実践!Titanium JavaScriptでiPhone&Android本格アプリ開発)
- ブックレビュー:SoftwareDesign 2011年3月号 (特集:はじめよう!Androidアプリ開発)
- ブックレビュー:PHP×携帯サイト実践プログラミング
11月 11th, 2012 at 23:28:53
[…] ブックレビュー:体系的に学ぶ 安全なWebアプリケーションの作り方 | ke-tai.org – インフィニットループ […]