2012-01-15

「体系的に学ぶ 安全なウェブアプリケーションの作り方」を読みました

徳丸さんに 直々にプレゼント していただいた 安全なウェブアプリケーションの作り方 を読んだ感想について書かせていただきます。

まず基本的な構成として、手を動かして学ぶことを意識した、とても実践的な内容になっているように思いました。仮想環境のセットアップ、デバッグ用プロキシ Fiddler のセットアップから始まっていて、具体的な通信内容を見て確認していく構成が素晴らしいと思います。

自分が特に興味深く読ませていただいたのは、セッション ID、CSRF トークン、自動ログインなど、Web アプリケーションを作るときは避けて通れない機能について、きっとこんな感じじゃないかな?という怪しげな実装になりがちな部分について、脆弱性が生まれるパターンを様々に例示して説明されているおかげで、正しい実装について深く学べる内容になっていると思いました。

セキュリティの話はどの話も全体のごく一部のような感覚があり、全体像がぼんやりともつかめない辛さがありましたが、この本は徹底的に網羅されているので、少しずつ読み進め理解を深めることで、理解しているつもりの方々とは一線を画す知識が得られると思います。内容がかなり盛りだくさんなので、最初から通して読もうとはせず、同じテーマの部分を繰り返し通して読むことで理解が深まりました。

Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 大型本 - 2011/3/3 徳丸浩 (著)