よろしくお願いします。

ASPで自社用出勤管理システムを作りました。
ASPのプロジェクトに携わった経験はほとんどなく、
ASP経験者が一人もいないのでほぼ独学でASP技術を学びました。
そのためプログラミング技術は身につきましたが、ASPシステムを
リリースする際に考慮すべき要素がわからないのです。
例えばセキュリティの面で気をつけるべきこととか・・・。
インターネットを利用して出勤管理を行うことになるので、
ログイン画面のシステムがばれちゃわないかなあ?とか、心配なことがあります。

ASPシステムのユーザリリース経験のある方、よきアドバイスをお願いいたします。

ちなみに見られちゃまずい部分(ユーザ承認システムなど)はサーバサイドに
限り動くように作っていますので、クライアントにソースが渡るようにはつくっていません。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

そういう事でしたか……。


個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
セキュリティ云々以前の問題な気がするのですが、そういう事は別とするなら、

MSDN Weekly Newsの98/06/24 (Vol.62)からのコラムを一読されてはどうでしょうか。
古い記事ではありますが、基本を再確認できそうです。

参考URL:http://www.microsoft.akadns.net/japan/developer/ …

この回答への補足

>個人的には、毎日セキュリティ情報が流れてくるASP(というかWindows)関連は、
>セキュリティ云々以前の問題な気がするのですが

ASPシステムはユーザが発注し、ソフトハウスが受けてますよ。需要と供給があります。だから経験者の方にお聞きしたかったのです。

補足日時:2001/03/12 09:45
    • good
    • 0

ASPの開発に携わったことがないので、一般的な話を。



・システムそのものの安全性を確認する
OSがセキュリティホールを持っていれば悪意を持ったユーザに狙われる可能性があります。
最近は中国からのアタック(ウェブの改竄)が続き、Microsoftからも毎日
セキュリティパッチが出ています。せめて一度確認する事が必要だと思います。

・ユーザの入力を仮定しない
ユーザはどんなパラメータを与えてくるかという事を仮定してはいけません。
「こんなのあり得ない」というパラメータを与えてくるかもしれません。
例えばパラメータをそのまま外部コマンドの引数に使うことは避けた方が良いでしょう。
特に、「><|`&」などの特殊な意味を持つ文字が含まれる場合誤動作では済まない場合もあります。

・ユーザ同士でのセキュリティも配慮する
よくある事で、会社などだと、人のPCを借用する事がよくあります。
その場合、そのPCの持ち主でないと見ることができないはずの情報を
見ることができてしまいます。特権を持つユーザにはそのことをちゃんと教育しておきましょう。

・重要な物にはログを残す
ログを機械的に信用するのは問題ですが、トラブルがあった際に役立ちます。
そのログを第三者が見ることができるのはマズイですが、原因不明の誤動作や
ハングアップの際に使えますね。データ消失の復旧の助けにもなるし。

・途中の画面をブックマークされる事に対処する
どういう形でセッション管理をされているのか判りませんが、
セッション途中をブックマークされ、そこに後日飛んでこられても大丈夫な様に
作っておく事が必要です。

これくらいかなぁ。

あとは、他人の良質なソースを色々読むことです。

この回答への補足

もちろん一般的な話はプロなので踏まえています。
誰もがアクセスできるインターネットを利用した、ASPシステム独自のセキュリティについてを知りたかったのです。

補足日時:2001/03/11 12:54
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QASPとASP.NETとASP.NET2.0の違い

Web開発初心者です。

帳票をPDF表示するWebアプリケーションを開発することになり、
言語はASPを使用することになりました。

そこで
ASP
ASP.NET
ASP.NET2.0
の違いをご存知の方がいらっしゃいましたら教えていただけますでしょうか。
それぞれIIS以外に必要な実行環境、ツール等も教えていただけると助かります。

不明瞭な箇所がありましたら説明させていただきます。
すいませんがよろしくお願いします。

Aベストアンサー

ASP用のツールは、多分、無いですね・・・
#メモ帳でASPファイルを作成してサーバにコピーとか。

ASP.NET用の開発ツールは、Microsft社製の「VisualStudio」シリーズがあり、
ASP.NET(1.1)は、「VislaStudio 2003」で、
ASP.NET2.0は、「VislaStudio 2005」で開発できます。


「Visual Web Developer 2005 Express Edition 」は、
「Visual Studio 2005」のEditionの1つで、有料のパッケージ版(入門者つき)と無料のダウンロード版があります。
機能的には同じで、無料版だからといって、商用利用の制限等はありません。

(http://www.microsoft.com/japan/msdn/vstudio/express/faq/default.aspx)

「Express Edition を商用目的で使用することはできますか。」

また、「ASP.NET1.1用」の無料の開発ツールとして、3rdパーティ製ですが、
「Web Matrix 」と言うのがあります。

「ASP.NET Web Matrix Project 日本語版」
(http://www.microsoft.com/japan/msdn/asp.net/webmatrix/)

ASP用のツールは、多分、無いですね・・・
#メモ帳でASPファイルを作成してサーバにコピーとか。

ASP.NET用の開発ツールは、Microsft社製の「VisualStudio」シリーズがあり、
ASP.NET(1.1)は、「VislaStudio 2003」で、
ASP.NET2.0は、「VislaStudio 2005」で開発できます。


「Visual Web Developer 2005 Express Edition 」は、
「Visual Studio 2005」のEditionの1つで、有料のパッケージ版(入門者つき)と無料のダウンロード版があります。
機能的には同じで、無料版だからといって、商用利用...続きを読む

QASPでユーザのグループ名取得

ASP.NETではない(レガシー)ASPで、ログインユーザのグループ名を取得したいと考えています。
ユーザの管理は、webサーバのローカルユーザで管理しており、
ユーザ名は「Request.ServerVariables("LOGON_USER")」で取得することができましたが、
グループ名を取得する方法がわかりませんでした。
ServerVariablesにはグループ名を管理するパラメータは無さそうなのですが、取得することはできるのでしょうか?
まったく異なった方法でも良いので、ご存知の方がいらっしゃいましたら、ご教授願います。

Aベストアンサー

ASP で実行できるか試してません。

Dim domainName
Dim userName

domainName = "hoge"
userName = "taro_yamada"

Dim c
Set c = GetObject("WinNT://" & domainName & "/" & userName)

Dim g
For Each g In c.Groups
  Response.Write g.Name & "<br/>"
Next

QASP技術者が集まるサイトを教えてください

都内のソフトハウスで求人担当をしています。ASPによる開発で在宅(自宅持ち帰り)または弊社常駐で仕事を受けていただける技術者を探していますが各種求人サイトに募集しても応募がありません。在宅またはフリーランスのASP技術者の方が集まる(よく利用する)サイト、媒体等をご存知の方は教えてください。

Aベストアンサー

こんなサイトがあります。

http://www.yasch.com/asp/

参考URL:http://www.yasch.com/asp/

QASP.netで作成したシステムのipad表示

ざっくりした質問ですいません。
たとえばPC上のIEで操作するwebシステムをasp.netで作成するとします。(入力された情報をSQLSERVERに登録する)
PCからIEで操作するように、ipadのsafariで操作できるものなのでしょうか?(アプリではなく)
それとも作りそのものを変えないと無理なのでしょうか?

Aベストアンサー

現状のASP.NETを使って開発するかぎり、特に問題はありません。

注意する点として、

・大昔(Visual Studio 2005時代)のASP.NET Web フォームアプリケーションをいきなり走らせると、は、ブラウザ検知でスマホ・タブレットを読み落とすため、表示が崩れたり、ポストバックでエラーが出たりするので、最低でもVisual Studio 2008 SP1でプロジェクトを更新することが必須条件です。

・ASP.NET Webフォームは、画面表示用のデータを ViewStateという仕組みで内包するため、トラフィック量が大きく、動作が緩慢になる傾向があって、タブレットやスマホで悪影響が出ます。
なので、ビューステートを最適化したり、動作が軽めのASP.NET 4以降にプロジェクトをアップグレードするのがいいです。

・同様に、ASP.NET Ajax も重めの動作になるため、別途、jQueryなどへの移行を考えた方がよいです。

QASP.netにて作られたシステムへのアクセス

IISはサーバー側に導入されていれば良く、クライアント側は例えば「XP HOME」でも、ASPサービスを受ける事は可能ですよね?

Aベストアンサー

動きますよね↓

参考URL:http://www.gdncom.jp/general/bbs/Default.aspx


おすすめ情報