ＡＳＰ開発のセキュリティで気をつけるべきことを教えてください

よろしくお願いします。

ＡＳＰで自社用出勤管理システムを作りました。
ＡＳＰのプロジェクトに携わった経験はほとんどなく、
ＡＳＰ経験者が一人もいないのでほぼ独学でＡＳＰ技術を学びました。
そのためプログラミング技術は身につきましたが、ＡＳＰシステムを
リリースする際に考慮すべき要素がわからないのです。
例えばセキュリティの面で気をつけるべきこととか・・・。
インターネットを利用して出勤管理を行うことになるので、
ログイン画面のシステムがばれちゃわないかなあ？とか、心配なことがあります。

ＡＳＰシステムのユーザリリース経験のある方、よきアドバイスをお願いいたします。

ちなみに見られちゃまずい部分（ユーザ承認システムなど）はサーバサイドに
限り動くように作っていますので、クライアントにソースが渡るようにはつくっていません。

No.1 回答者： Kaz_factory 回答日時： 2001/03/09 10:40

ASPの開発に携わったことがないので、一般的な話を。

・システムそのものの安全性を確認する
OSがセキュリティホールを持っていれば悪意を持ったユーザに狙われる可能性があります。
最近は中国からのアタック(ウェブの改竄)が続き、Microsoftからも毎日
セキュリティパッチが出ています。せめて一度確認する事が必要だと思います。

・ユーザの入力を仮定しない
ユーザはどんなパラメータを与えてくるかという事を仮定してはいけません。
「こんなのあり得ない」というパラメータを与えてくるかもしれません。
例えばパラメータをそのまま外部コマンドの引数に使うことは避けた方が良いでしょう。
特に、「><|`&」などの特殊な意味を持つ文字が含まれる場合誤動作では済まない場合もあります。

・ユーザ同士でのセキュリティも配慮する
よくある事で、会社などだと、人のPCを借用する事がよくあります。
その場合、そのPCの持ち主でないと見ることができないはずの情報を
見ることができてしまいます。特権を持つユーザにはそのことをちゃんと教育しておきましょう。

・重要な物にはログを残す
ログを機械的に信用するのは問題ですが、トラブルがあった際に役立ちます。
そのログを第三者が見ることができるのはマズイですが、原因不明の誤動作や
ハングアップの際に使えますね。データ消失の復旧の助けにもなるし。

・途中の画面をブックマークされる事に対処する
どういう形でセッション管理をされているのか判りませんが、
セッション途中をブックマークされ、そこに後日飛んでこられても大丈夫な様に
作っておく事が必要です。

これくらいかなぁ。

あとは、他人の良質なソースを色々読むことです。

この回答への補足

もちろん一般的な話はプロなので踏まえています。
誰もがアクセスできるインターネットを利用した、ＡＳＰシステム独自のセキュリティについてを知りたかったのです。

補足日時：2001/03/11 12:54

No.2 回答者： Kaz_factory 回答日時： 2001/03/11 18:58

そういう事でしたか……。

個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
セキュリティ云々以前の問題な気がするのですが、そういう事は別とするなら、

MSDN Weekly Newsの98/06/24 (Vol.62)からのコラムを一読されてはどうでしょうか。
古い記事ではありますが、基本を再確認できそうです。

参考URL：http://www.microsoft.akadns.net/japan/developer/ …

この回答への補足

>個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
>セキュリティ云々以前の問題な気がするのですが

ASPシステムはユーザが発注し、ソフトハウスが受けてますよ。需要と供給があります。だから経験者の方にお聞きしたかったのです。

補足日時：2001/03/12 09:45