gihyo.jp » DEVELOPER STAGE » 連載 » なぜPHPアプリにセキュリティホールが多いのか? » 補講 » 【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする

なぜPHPアプリにセキュリティホールが多いのか?

【スクリプトインジェクション対策15】JavaScriptが無効なクライアントでも利用可能なサイトにする

2008年4月23日

大垣靖男

, ,

セキュリティ, ナビゲーション, セキュリティチェック, クリック, チェック, スクリプト

最近はJavaScriptが使えることが前提であるサイトが非常に増えています。JavaScriptが無効だとリンクやボタンをクリックできなかったり,クリックできても「Page not found」になって表示できなかったりする大手サイトが数多くあります。

あり得ないと考えるべきですが,仮に自分が構築したサイトが完全な安全性を維持しているとします。しかし,ほかの非常に多くのサイトはスクリプトインジェクションに対して脆弱です。自衛の方法としてスクリプトの実行を行えないようにしているユーザも少なからずいます。

理想的にはJavaScriptが無効なサイトでもユーザが不便なく利用できるようにすべきです。特に公共性の高いサイトは目新しさや派手さなどは求めるべきでなく,アクセシビリティが高いサイトを構築すべきです。

スクリプトが実行できないとすべての機能が利用できず,ナビゲーションやフォーム送信に支障がある場合は,最低限<noscript>タグを使用してユーザにJavaScriptが有効でないと利用できないことを知らせるべきです。

例:noscriptタグの利用

<noscript>このページはJavaScriptを利用しています。フォームの送信やリンク切れなどが発生します。JavaScriptを有効にしてご利用ください</noscript>

などと記載すべきです。この連載の趣旨から外れるので解説しませんが,CSSを利用してレイアウトに影響しないように表示することも簡単です。たったこれだけのことですが,行っていない大手Webサイトが少なくないのは残念です。

ユーザがデータを送信する前に入力ミスや入力形式が不正でないかチェックするために,JavaScriptを利用するのはユーザの利便性向上には非常に有用です。しかし,JavaScriptによるチェックはセキュリティ的には意味がありません。最終的な入力チェックは必ずサーバ側で行わなければなりません。クライアントサイドのチェックはセキュリティ的に意味がないことは,当たり前のよう認識されている,と考えられるかも知れません。しかし,大手が構築したWebサイトでもJavaScriptによる入力チェックやセキュリティチェックのみで,安全性がまったく維持できていなかった例は少なくありません。

対策のまとめ

  • JavaScriptが無効であっても最低限のナビゲーションが可能にする
  • JavaScriptが無効な場合,ナビゲーションや機能に支障がある場合ページに表示する
  • JavaScriptによるセキュリティチェックはセキュリティチェックとならないものとして取り扱う

, ,

著者プロフィール

大垣靖男(おおがきやすお)

University of Denver卒。同校にてコンピュータサイエンスとビジネスを学ぶ。株式会社シーエーシーを経て,エレクトロニック・サービス・イニシアチブ有限会社を設立。
オープンソース製品は比較的古くから利用し,Linuxは0.9xのころから利用している。オープンソースシステム開発への参加はエレクトロニック・サービス・イニシアチブ設立後から。PHPプロジェクトでは,PostgreSQLモジュールのメンテナンスを担当している。

URLhttp://blog.ohgaki.net/

著書

  • Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?

    Webアプリセキュリティ対策入門〜あなたのサイトは大丈夫?

  • [改訂版]PHPポケットリファレンス

    [改訂版]PHPポケットリファレンス

コメント

コメントの記入

パスサポ

多数の情報処理技術者試験対策書籍の発行実績を誇る技術評論社がお届けする,資格試験合格サイト「めざせ! 情報処理試験 パスサポ」が開設されました。

ピックアップ

サクセスストーリーに続く,快適サーバー運用管理のヒント!

データの増大,煩雑な管理,システムダウン,セキュリティなど,迫りくる課題からシステム管理者の負担を軽くするポイントを解説します。

gihyo.jp インフラエンジニア情報局

ネットワークやITにかかわるあらゆる業種で必要とされるインフラエンジニアに向けた技術情報や心構え,その魅力について多角的に紹介。

テストエンジニア ステーション

いま,ITに関わるあらゆる開発業務で注目されつつあるテスト系エンジニアをターゲットにしたコンテンツサイトを展開します。

一行クイックアンケート

gihyo.jpで取り上げてほしいネタは?

※検索はページ右上の検索ボックスをご利用ください。

その他の連載

Ruby Freaks Lounge

Rubyに関わる,執筆者自身の旬なテーマを扱った,リレー形式の連載です。

これでできる! クロスブラウザJavaScript入門

JavaScriptはウェブ制作において避けては通れない重要な言語ですが,JavaScriptに苦手意識を持たれている方は少なくないようです。 その最大の原因がクロスブラウザ対応という課題であり,本連載ではクロスブラウザ対応のテクニックを詳細に解説します。

ビジネスで成功するためのシステム運用管理のポイント

システムの多様化,技術進歩に伴い,ITシステムの運用管理の必要性が年々高まっています。本連載では,システムの運用管理とは何かについて,現場のニーズと具体的な指針を押さえながらを解説します。

2010年版SEO体得講座

本連載では,いまや企業サイトの戦略の1つとして欠かすことのできないSEOについて,最新トレンドからすぐに使えるTipsまでを紹介します。

小型Linuxサーバの最高峰 OpenBlockS 600活用指南

搭載メモリの増加,CPUクロックの向上など,あらゆる面が強化された期待の新モデルOpenBlockS 600。この記事ではOpenBlockS 600の紹介から,活用するためのさまざまなノウハウを紹介していきます。

はじめMath! Javaでコンピュータ数学

プログラミング言語入門者向けに,知っていると役立つ数学的トピックスを紹介します。簡単な演習問題と解説で,即活用できる知識を目指します。

教科書には載っていない ネットワークエンジニアの実践技術

ネットワークエンジニア,インフラエンジニアのトラブル対応には,時には「教科書通りにいかない」テクニックが必要となります。資格試験では得られないこうした実践的な技術について,実例を元に紹介します。

Googleケータイ,世に現る

2008年9月,Googleが中心となって開発されている「Android」を採用した携帯電話「T-Mobile G1」が発表されました。本連載ではT-Mobile G1を中心にGoogleケータイに迫ります。

連載一覧

gihyo.jp

  • DEVELOPER STAGE
  • ADMINISTRATOR STAGE
  • WEB+DESIGN STAGE
  • LIFESTYLE STAGE
  • SCIENCE STAGE
  • NEWS & REPORT

書籍案内

  • 新刊書籍
  • 書籍ジャンル一覧
  • 書籍シリーズ一覧
  • 新刊ピックアップ
  • ロングセラー
  • 電脳会議

定期刊行物一覧

  • Software Design
  • WEB+DB PRESS
  • Web Site Expert
  • 組込みプレス

最近のコメント