セキュリティ
ボードリーダー:河端 善博
|
| 毎月第2、第4木曜日はボードリーダーからのレポートを掲載いたします。 |
|
|
|
 |
|
|
|
|
|
2002年9月26日
『.NET環境でのセキュリティ 』
すっかり涼しくなりました。
夜もすごしやすくなりましたし、この機会に .NETの知識を深めようと思っています。
◇.NET環境でのセキュリティ
.NET を利用した開発環境で、業務システム、イントラネットの開発をはじめている方も多くなってきました。
ただ、.NET はまだ新しいために、これまでの開発環境 ASP/CGI などと比較して、プログラム上のセキュリティ対策情報が限定されているように思います。
そこで、.NET のもつセキュリティ機能を、実際のシステムで正しく漏れなく利用し、システムを安全に保つための情報を この分科会で取り上げていければと思います。
また、クロスサイトスクリプティング対策といった .NET を利用する開発者が気をつけなければならないことも、あわせて、考えていきたいと思います。
たとえば、ASP.NET の DataGrid サーバーコントロールを考えてみましょう。もし、DataGrid に割り当てるデータセットの中に、ユーザーからの入力があるとしたら、どうすればいいでしょう。
名前の欄に、悪意のあるスクリプトを埋め込まれていたとしたら、ただしく、サニタイジングしていないと、クロスサイトスクリプティング問題が発生します。
対策例として、次のような記述を考えました。
<ItemTemplate>
<asp:Label id=Label1
runat="server"
Text='<%# Server.HtmlEncode(DataBinder.Eval(Container,
"DataItem.Name")) %>'>
</asp:Label>
</ItemTemplate>
Server.HtmlEncode() メソッドをいれることにより、DataGrid の Item のレンダリング時に、サニタイジングしています。
ほかにも、よく検討する必要のあるポイントが多々あります。ぜひ、セキュリティ分科会にて、まとめていければと思います。
|
|
|
|
 |
|
|
|
| (C) 2005 Professional Association for SQL Server Japan. All rights reserved. |
|
