- 締切済み
ASP開発のセキュリティで気をつけるべきことを教えてください
よろしくお願いします。 ASPで自社用出勤管理システムを作りました。 ASPのプロジェクトに携わった経験はほとんどなく、 ASP経験者が一人もいないのでほぼ独学でASP技術を学びました。 そのためプログラミング技術は身につきましたが、ASPシステムを リリースする際に考慮すべき要素がわからないのです。 例えばセキュリティの面で気をつけるべきこととか・・・。 インターネットを利用して出勤管理を行うことになるので、 ログイン画面のシステムがばれちゃわないかなあ?とか、心配なことがあります。 ASPシステムのユーザリリース経験のある方、よきアドバイスをお願いいたします。 ちなみに見られちゃまずい部分(ユーザ承認システムなど)はサーバサイドに 限り動くように作っていますので、クライアントにソースが渡るようにはつくっていません。
- snowair
- お礼率74% (60/81)
- Microsoft ASP
- 回答数2
- ありがとう数6
- みんなの回答 (2)
- 専門家の回答
みんなの回答
そういう事でしたか……。 個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、 セキュリティ云々以前の問題な気がするのですが、そういう事は別とするなら、 MSDN Weekly Newsの98/06/24 (Vol.62)からのコラムを一読されてはどうでしょうか。 古い記事ではありますが、基本を再確認できそうです。
ASPの開発に携わったことがないので、一般的な話を。 ・システムそのものの安全性を確認する OSがセキュリティホールを持っていれば悪意を持ったユーザに狙われる可能性があります。 最近は中国からのアタック(ウェブの改竄)が続き、Microsoftからも毎日 セキュリティパッチが出ています。せめて一度確認する事が必要だと思います。 ・ユーザの入力を仮定しない ユーザはどんなパラメータを与えてくるかという事を仮定してはいけません。 「こんなのあり得ない」というパラメータを与えてくるかもしれません。 例えばパラメータをそのまま外部コマンドの引数に使うことは避けた方が良いでしょう。 特に、「><|`&」などの特殊な意味を持つ文字が含まれる場合誤動作では済まない場合もあります。 ・ユーザ同士でのセキュリティも配慮する よくある事で、会社などだと、人のPCを借用する事がよくあります。 その場合、そのPCの持ち主でないと見ることができないはずの情報を 見ることができてしまいます。特権を持つユーザにはそのことをちゃんと教育しておきましょう。 ・重要な物にはログを残す ログを機械的に信用するのは問題ですが、トラブルがあった際に役立ちます。 そのログを第三者が見ることができるのはマズイですが、原因不明の誤動作や ハングアップの際に使えますね。データ消失の復旧の助けにもなるし。 ・途中の画面をブックマークされる事に対処する どういう形でセッション管理をされているのか判りませんが、 セッション途中をブックマークされ、そこに後日飛んでこられても大丈夫な様に 作っておく事が必要です。 これくらいかなぁ。 あとは、他人の良質なソースを色々読むことです。
補足
もちろん一般的な話はプロなので踏まえています。 誰もがアクセスできるインターネットを利用した、ASPシステム独自のセキュリティについてを知りたかったのです。
関連するQ&A
- ASPってなんでしょうか
最近ASPっていうのをよく見かけます。 初歩的な質問で申し訳ないですが、これはどういうものなんでしょうか?プログラミング言語ですか? またこれ以外にもたくさんのプログラミング言語やLinuxの構築、サーバの管理などパソコンをメインとした仕事がありますが、これらを扱って仕事をしている方はどこでその知識を取得したのでしょうか? 新卒ではない人がこれからIT系の勉強をするにはスクールしかないですか? 25歳で未経験にIT→特にプログラミングやネットワーク管理、データベースなどなどは厳しいでしょうか? アドバイス宜しくお願いいたします。
- ベストアンサー
- SE・インフラ・Webエンジニア
- ASP、ASP.NETの勉強をしたいのですが
ASP、ASP.NETについて勉強したいと考えています。 そもそもASPって何?ASP.NET?ASPとは別なの?というぐらい知識がないため、まずは参考書からということで本屋をみたのですが、どれを買ったらいいのやらで…。 私自身はHTML、CSS、Javascript、jQueryでのページづくり、Java風のプログラミング言語での開発の経験はあるものも、VB.NETやC#の開発経験は全くありません。 なので、そういった経験のない初心者にもオススメな書籍があれば教えて頂きたいです。 毎日電車での移動時間が1時間以上あり、この移動時間も利用して勉強したいと考えているので、 電車内でも読めるサイズの書籍も教えて頂けるとありがたいです。 ついでで申し訳ないのですが、どうしてもプログラミングは独学が苦手で、多少値がはってもいいので土日に研修・教室へ通うことも視野に入れています。 だた、今までそういう研修を利用したことがないため、ネットで検索してヒットしたものを受けにいっていいのかとかよくわかっておりません。 なので、初心者がいっても大丈夫なASP.NET、または.NET関連のWeb開発の実習をする研修・講座などありませんでしょうか。 検索方法、研修を選ぶ際のアドバイスでもかまいません。 何卒、よろしくお願いいたします。
- 締切済み
- Microsoft ASP
- ASP/SaaS型システム導入のプロジェクト管理
ASP/SaaS型のシステムを導入する際、どのようなプロジェクト管理を行っていますか? ユーザー側(利用側)、ベンダー側(提供側)、どちらの目線でも構いません。 規模や業務によっては、ASPでも導入に期間がかかる場合があります。 ある程度の規模のスクラッチ開発を行う場合、以下のようなPM関連資料を作成するケースが多いかと思いますが、 ・プロジェクト計画書 ・WBS ・品質管理計画書 ・課題管理表 など ASP/SaaS型を導入する際は、このような資料を作成しますか? 作成する場合、参考になる情報がありましたら教えてください。
- ベストアンサー
- その他(プログラミング・開発)
- 業務システムを新規開発、またはASPを利用したい
パソコンのハードウェア修理業をしております。 今のところ、顧客管理はExcelで行っているのですが、件数が 多くなり、関数を多用しているため、かなり動作が重くなっており、 DB化を考えています。 顧客からの相談メールの返信や、修理結果の報告なども、 送信件数が多いため、WEBベースの業務システムを組んで、 管理画面からいくつかのメールテンプレートを選択、 テキストエリアに読み込みして、内容をちょこっと編集して、 送信ボタンで簡単に送信できるようにしたいと思っています。 こういった業務システムを実現したいのですが、こういう仕様は システム開発会社に、新規に作ってもらわないと実現できません でしょうか? サイボウズの「デヂエ 8 for ASP」など、カスタマイズ可能と書いて いるのですが、使用経験がないため、どこまでカスタマイズできるのか わかりません。 もしこういったシステムを実現できる、良い業務システムのASP などありましたら、教えていただけますと助かります。 個人的には、一からの開発をお願いした方が良いかと思っていますが、 何かアドバイス等もございましたら、ご意見を伺いたいです。
- 締切済み
- その他([技術者向] コンピューター)
- ASP.NET初心者にお勧めな本
ASP.NETを勉強したく 本屋さんへ行ってみたのですが どれが初心者向けなのかすら まったくわけがわからなかったです。 プログラミング知識はvbaを少しかじる程度です。 あとアクセスで管理システム設計をがんばっています。 そしてASP.NETを学ぶためにVB2008の無料版をインストールしました。 アドバイスよろしくお願いします。
- ベストアンサー
- Microsoft ASP
- モバイルアフィリエイトASPについて
広告登録すると機能が使える様になるモバイルサイトを作りたいと思います。 システム的にはポイントサイトと同じだと思います。(ポイント付与の変わりに機能開放) (1).ASPのリンクをユーザーがクリックする (2).会員登録などの成果が発生する (3).成果承認の可否に関する情報がASPから送られてくる (4).可だった場合機能開放する 以上の事がやりたいのですが、個人で(3)の機能が使えるモバイルアフィリエイトASPはあるのでしょうか? 知っている方は教えていただけますか?
- ベストアンサー
- その他([技術者向] コンピューター)
- アカウントASP.NETで困ったことになりました
WINDOWS7で質問です。 いつのまにかユーザーアカウントにASP.NETというアカウントが表示されるようになりました。 まずいことにASP.NETのみを管理者に、自分が使用しているアカウントを 標準ユーザーに設定したところ、 インターネットからプログラムをインストール、アップデートしようとする度に、 ASP.NETのパスワードを求められるようになりました。 自分がいつも使っているパスワードを試しましたが、すべてダメでした。 自分のアカウントを管理者に戻そうとしたり、システムの復元も試しましたが、 その操作でもASP.NETパスワードを求められ、どうすることもできません。 今の状態のアカウント画面を添付します(なぜかASP.NETのアカウントがありません) なんとか解決する方法はあるのでしょうか?よろしくお願いします。
- 締切済み
- Windows 7
- VB、ASPの技術者がLAMP環境へ
社内SEの転職先を探している者です。最近の社内SEの求人は、VBなどで作る社内向けの財務会計や販売管理のシステムよりも、社外に向けてのBtoCサイトやECサイトの管理・運営の求人の方が多くなってきた様に思えます。 私は社内向けの財務システムなどの開発及び管理の経験はあるのですが、社外向けのBtoCサイトの経験はありません。ただ、ASPでイントラネット環境下での販売管理システムは構築したことがあります(ASPのバージョン5.6、IISのバージョン6.0、DBはSQLServer2005)。あと、VB.NETの開発も多少やったことがありますので、オブジェクト指向の考え方やクラスの継承などは理解しています。 C#やASP.NETは経験がありませんが…。(多少@ITを読んでかじった程度の知識はあります。PostBackとは何かとかぐらいですが…。) BtoCサイト運営に興味はあるのですが、JavaやPHP、OSはLinux、DBはMySQL等のLAMP環境の所が多く、Windows環境下の開発になれた人間がLinuxでやっていけるか心配です。 BtoCサイト運営管理の仕事をやってる方、又は経験がある方にお聞きしたいのですが、イントラネット環境下のASPの技術程度では、JavaでLinux環境で社外向けサイトの開発は難しいでしょうか? それとも仕事をやりながらASPとの違いやSEO対策などEtoCサイトを運営する上で必要な知識と技術を1から気合を入れて勉強して身に付けていけばよいでしょうか?
- 締切済み
- SE・インフラ・Webエンジニア
- 最適なプログラミングはなんでしょうか??システム開発とは?
はじめまして。 それでは質問させていただきます。 質問内容は3つありますのでどうかお願いします。 最初に、よくシステムエンジニアやシステム管理者などが ハローワークなどで複数見かけます。 それで、業務内容にシステムの構築やシステム管理など書いてありました。具体的に何をやるんでしょうか?? 必須技術にCやC++とありましたが、やはりプログラミング言語がないとできない内容なんですかね?? これらの企業に入社するとき、面接で、どういった資格があると優遇もしくは内定されやすいですかね?? もちろん企業によって違うのはわかってますが、一般的や自分の知ってる企業などで結構なので教えていただけませんか?? ゲームを作るプログラミングは何が一番最適ですか?? アクションやシューティング RPG シュミレーション それぞれもし違う最適な言語がありましたら教えてください。 質問の量が多いですがどうかお願いします。
- 締切済み
- その他(プログラミング・開発)
- ASP.Net Web サイト管理ツール
お世話になります。 ASP.Net を使う上でユーザーの管理とアクセス規制管理をしますが、 その際に、Visual Studio にある Web サイト管理ツール を使うと思います。 ですが、これを使うためにはPCにVisual Studio やそれに関連するソフトを インストールしている必要があると思うのですが、たとえばエンドユーザーが ASP.Netのシステムを使用するユーザーを新規で登録する場合には、 エンドユーザーのPCにこれらのソフトをインストールする必要があるのでしょうか? これらのソフトをインストールしないでも、Web サイト管理ツール を使う事はできるのでしょうか? 初心者ゆえ、よくわからなかったので、こちらで質問させていただきました。 何卒よろしくお願いいたします。
- ベストアンサー
- Microsoft ASP
補足
>個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、 >セキュリティ云々以前の問題な気がするのですが ASPシステムはユーザが発注し、ソフトハウスが受けてますよ。需要と供給があります。だから経験者の方にお聞きしたかったのです。