web-dev-qa-db-ja.com

クライアント側のセキュリティ上の懸念(Javascript)

大きなWebサイトのUIを設計して実装します。サイトの所有者は、セキュリティの問題に非常に慎重です。 Javascriptでの設計とコーディング中に、クライアント側でセキュリティ問題のチェックリストがあるかどうか疑問に思います。

appsecweb-applicationjavascriptclient-side
9
saeed

完璧なチェックリストが1つになることは決してありませんが、次のことを実行する価値があります。

  • ウィキペディア これでは半分悪いことはしません

  • AJAXまたはその他の豊富なインターフェースの詳細ですが、アーキテクチャによっては読む価値があります- [〜#〜] owasp [〜#〜]

  • これは試してみる価値があるようです-自分で試したことはありません- Javascript sandbox

はい、これらはいずれも真の「チェックリスト」ではありません。JavaScriptの脆弱性で探す必要のあるIMOは、それをどのように使用しているか、およびアーキテクチャの他の部分がどのように見えるかに大きく関係しています。チェックリストは本当に本当の懸念をカバーします。最初にリスク分析を行ってから、それがどのようにさまざまなWebテクノロジーを集合体として使用するかにどのように変換されるかを確認することをお勧めします。

11
bethlakshmi

Webアプリケーションを適切に保護するには、ブラウザーとサーバーがどのように機能するかをよく理解する必要があります。 JavaScriptは氷山の一角にすぎません。

Webアプリケーションのセキュリティの紹介(しかし徹底的な)レビューについては、Michal Zalewskiの The Tangled Web をお勧めします。この本には、各章の終わりにチェックリスト(「セキュリティエンジニアリングのチートシート」と呼ばれる)が付いています。

3
cberzan