よろしくお願いします。
ASPで自社用出勤管理システムを作りました。
ASPのプロジェクトに携わった経験はほとんどなく、
ASP経験者が一人もいないのでほぼ独学でASP技術を学びました。
そのためプログラミング技術は身につきましたが、ASPシステムを
リリースする際に考慮すべき要素がわからないのです。
例えばセキュリティの面で気をつけるべきこととか・・・。
インターネットを利用して出勤管理を行うことになるので、
ログイン画面のシステムがばれちゃわないかなあ?とか、心配なことがあります。
ASPシステムのユーザリリース経験のある方、よきアドバイスをお願いいたします。
ちなみに見られちゃまずい部分(ユーザ承認システムなど)はサーバサイドに
限り動くように作っていますので、クライアントにソースが渡るようにはつくっていません。
A 回答 (2件)
- 最新から表示
- 回答順に表示
No.1
- 回答日時:
ASPの開発に携わったことがないので、一般的な話を。
・システムそのものの安全性を確認する
OSがセキュリティホールを持っていれば悪意を持ったユーザに狙われる可能性があります。
最近は中国からのアタック(ウェブの改竄)が続き、Microsoftからも毎日
セキュリティパッチが出ています。せめて一度確認する事が必要だと思います。
・ユーザの入力を仮定しない
ユーザはどんなパラメータを与えてくるかという事を仮定してはいけません。
「こんなのあり得ない」というパラメータを与えてくるかもしれません。
例えばパラメータをそのまま外部コマンドの引数に使うことは避けた方が良いでしょう。
特に、「><|`&」などの特殊な意味を持つ文字が含まれる場合誤動作では済まない場合もあります。
・ユーザ同士でのセキュリティも配慮する
よくある事で、会社などだと、人のPCを借用する事がよくあります。
その場合、そのPCの持ち主でないと見ることができないはずの情報を
見ることができてしまいます。特権を持つユーザにはそのことをちゃんと教育しておきましょう。
・重要な物にはログを残す
ログを機械的に信用するのは問題ですが、トラブルがあった際に役立ちます。
そのログを第三者が見ることができるのはマズイですが、原因不明の誤動作や
ハングアップの際に使えますね。データ消失の復旧の助けにもなるし。
・途中の画面をブックマークされる事に対処する
どういう形でセッション管理をされているのか判りませんが、
セッション途中をブックマークされ、そこに後日飛んでこられても大丈夫な様に
作っておく事が必要です。
これくらいかなぁ。
あとは、他人の良質なソースを色々読むことです。
この回答への補足
もちろん一般的な話はプロなので踏まえています。
誰もがアクセスできるインターネットを利用した、ASPシステム独自のセキュリティについてを知りたかったのです。
No.2
- 回答日時:
そういう事でしたか……。
個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
セキュリティ云々以前の問題な気がするのですが、そういう事は別とするなら、
MSDN Weekly Newsの98/06/24 (Vol.62)からのコラムを一読されてはどうでしょうか。
古い記事ではありますが、基本を再確認できそうです。
参考URL:http://www.microsoft.akadns.net/japan/developer/ …
この回答への補足
>個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
>セキュリティ云々以前の問題な気がするのですが
ASPシステムはユーザが発注し、ソフトハウスが受けてますよ。需要と供給があります。だから経験者の方にお聞きしたかったのです。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- IT・エンジニアリング 企業におけるデータ管理方法についてみなさまのお考えを教えてください。 1 2023/04/15 22:34
- その他(インターネット接続・インフラ) 語学レッスン予約ページを作ろうとしています。 1 2022/09/26 17:43
- Microsoft ASP ASP.NETや.NET、C#とかVBとか 2 2022/05/16 21:16
- インターネットビジネス アフィリエイトの収益化記事について 2 2023/04/04 15:19
- その他(IT・Webサービス) 対戦型ゲームを考えています。 その時、ゲーマーのハイスコアや全体での 成績スコアなども管理表示したい 2 2023/05/12 14:05
- その他(セキュリティ) 役所など、情報系システムのセキュリティが弱くても業務システムに問題ないか 3 2022/11/02 16:38
- システム kintoneで販売管理システムを開発できるか 1 2022/12/14 17:53
- 転職 転職活動をしています とある小さな会社でひとり一般事務をしています。 アナログな会社で、普通の会社の 3 2022/10/09 07:33
- IT・エンジニアリング 開発エンジニアとテスター 閲覧ありがとうございます。 仕事について相談させていただきたく投稿しました 2 2022/12/07 18:38
- その他(ビジネス・キャリア) 動画編集覚えて稼げないってよく聞きますが、需要より動画編集やりたい人が多いから? 例えばYouTub 2 2022/11/24 22:54
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
MySQL・Tomcat・JSP 何度もSub...
-
setAttribute getAttribute 配...
-
struts java ログインのセッシ...
-
ASP.NETのGlobal.asaxについて
-
struts2でのフィルターを使った...
-
セッションタイムアウト時にエ...
-
JSPでsession変数が勝手に書き...
-
ASP.net1.0をWIN7のIISで動...
-
HTMLのSELECTタグの使い方、JSP...
-
グローバルIPアドレスの変更タ...
-
フォーム上で押されたボタンに...
-
j-axis 腕時計のアラーム止めたい
-
jspからServletを呼び、元のjsp...
-
プログラミングで例えばゲーム...
-
腕時計の時報をならないように...
-
ActiveWorkbook.Pathの一つ下の...
-
画面を隠す・消す方法を教えて...
-
JSP+Servletで終了ボタン
-
C言語で今まで表示していた画面...
-
ServletからHTMLページへの遷移...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
javascriptでセッションを取得
-
グローバルIPアドレスの変更タ...
-
setAttribute getAttribute 配...
-
javascriptでのログアウトボタン
-
フレームを使用した際のセッシ...
-
javascriptでセッションの削除...
-
sessionスコープとapplication...
-
セッションの情報の消去について
-
HTMLのSELECTタグの使い方、JSP...
-
エラーページ遷移後に入力値を残す
-
ブラウザバック禁止
-
MySQL・Tomcat・JSP 何度もSub...
-
ASP.NETのGlobal.asaxについて
-
複数Webサーバーでのセッション...
-
HttpSessionListenerクラスに関...
-
jsessionidの有効期限を延長す...
-
Tomcatでの同一セッション同時...
-
aタグによる複数リンクを別セッ...
-
JSPでブラウザ終了時にPostgreS...
-
XMLHTTPを使って、セッションID...
おすすめ情報