Q&A
ここで言っているのは hidden 属性ではなく hiddenフィールド(<input type="hidden" />)のことなので、時間があれば修正願います。
https://developer.mozilla.org/ja/docs/Web/HTML/Global_attributes/hidden
はじめまして。
現在セキュリティについて学習中のものです。
webアプリケーションセキュリティを学ぶ上で一点気になったことがあったので質問させていただきます。
1.前提
IPA iSECの「hiddenは危険https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_05.html」というページを閲覧しました
2.疑問を感じた箇所
hiddenフィールドで指定したデータはWWWブラウザには表示されないため安全であるかのように錯覚しがちであるが,実際には他のデータと同様にブラウザに送られている。WWWブラウザに送られたデータは,ユーザによって容易に参照・改竄される可能性があることを認識する必要がある。
3.質問内容(具体的な疑問)
hiddenの値が他のデータ同様に改ざんされるリスクがあることは認識できました。ただ、これって他のデータとリスクは同じで、hiddenを使ったからリスクが高いって結論にならないのでは?と恐らく誤った認識を持っているため質問させていただきました。
質問内容のレベルが低く申し訳ございませんがご確認よろしくお願いします。
回答3件
0
ベストアンサー
この資料は2002年と古く、現在は歴史的な資料として公開されているものです。ご認識の通り、hiddenをことさらに危険と捉えることは有害ですらあります。
なので、「昔はこのようなことを言われていたのだな」と読んでいただくのがよろしいかと思います。
投稿2019/07/24 01:15
総合スコア11710
0
hiddenだからリスクが高まるとはどこにも書いてないと思います。
ご自身も引用されている通り「ブラウザ上に表示されないから安全だと錯覚する」ということだけがポイントと思います。
投稿2019/07/24 01:04
総合スコア80888
ご回答ありがとうございます。
やはりそこだけが問題点だったのですね。。
お勉強させていただきました。
ヒントになったようで何よりです。
0
参照・改竄される可能性に注目するべきです。逆に改ざんされても良いデータ(検索用の文字列など)ならHiddenでも構いません。
また、Hiddenを使う・使わないに関係なく、サーバーサイドで送られたデータのチェックを行うことでセキュリティを担保します。
蛇足ですが、JavaScriptでブラウザ上でのチェックはUIの向上目的でセキュリティ目的ではありませんので。
投稿2019/07/24 02:07
総合スコア38
あなたの回答
tips
プレビュー
