(レポート目次:はじめに、セッション1、セッション2、セッション3、セッション4)
二番目に受けたのは、「Dreamweaver使いが知っておきたいセキュリティ」。
講師の太田 良典さん(株式会社 ビジネス・アーキテクツ)のお話しは、以前 第8回 WegSig会議 で聞いたことがあって、かなり面白く、ためになる内容だったので、今回も期待していた。
で、どうだったのかと言うと、期待にたがわずという感じであった。
太田さんは早口のほうだと思うけれど、思考や理解の速度と合っているのか、内容がうまく入ってくる。その辺りも研究してみたいような気がした。
内容は、Dreamweaver的なところでは、使うときにちょっと注意をしましょうねというポイントをいくつか。
たとえばチュートリアルに沿って作ったフォームには、クロスサイトスクリプティング(XSS)脆弱性があるとか……。いまどき、XSSを考慮してないフォームですか! とちょっと驚いたりしますが、やはりアプリを過信するのは怖いですね。
Webデザイナが気をつけるべき点は、大きく3つ。
- クロスサイトスクリプティング(XSS)
- <> などは、文字実体参照などでエスケープしましょう
- Forceful Browsing(強制的ブラウズ)
- index.html が無くても、ディレクトリ内容が表示されないように設定しましょう
- SQLインジェクション
- これは、SQLって何? ぐらいの知識のわたしには意味がわからず。汗
そして、このセッションでも気になったのは、「果たしてWebデザイナはPHPやJavascriptをどこまでいじって良いのか」ということ。
ソフトウェアの脆弱性より、Webアプリの脆弱性報告のほうが多いのだそうだが、それは、Webアプリは知識が中途半端でも作って公開することができるから、というのも大きな要因なのではないかと思うからだ。
セッションが終わって、機会を逃さず名刺交換&質問に突撃した。
「Webデザイナがセキュリティの最新情報を追うのは現実的には厳しい。プログラムの知識も中途半端だし、果たして、デザイナがそっちのほうまで作るのは是か非か・・・」
うまく聞けたかわからないが、太田さんの答えはこれだ。
「難しい問題ですね」
そうなんですよ!(笑)
答えは出ませんでしたが、システムが絡むようなプロジェクトでないと、Webデザイナがフォームや簡単な動きを作らざるを得ないのは現実だし、避けられないとおっしゃっていた。
うん。確かに現実です(この業界は本当に今、いろいろと過渡期だけど、ずっと過渡期なのかも)。
じゃあどうすれば良いのかとなると、まだ考えが及ばない。
今は、バランスよく情報を集めていかねばと思った。
そのためにこんなイベントがあるし、わたしもこうして、ちょっとでもアウトプットしているわけですね。(と、うまいことまとめて、次のセッションへ)
No comments
Comments feed for this article