セキュリティ対策の程度について

python始めて数ヶ月程度の初心者です。よろしくお願いします。

まず状況を述べます。とりあえず実験的に、小さなウェブサイトを立ち上げて、小さいDBと紐付いたDBの更新フォームくらいのものをつくってオープンしたいと考えているものです。

現在は、Linuxでiptablesで HTTPとHTTPSとSSH(SSHポートナンバー変換済み)以外のポートを閉め、SSHのrootログインを不可にする、パスを複雑にするなどファイアウォールまわりは固めています。

次にXXSやSQLインジェクション対策として、危険性のある文字列をエスケープ処理するところまで参りました。

①経験不足のため、どの程度のセキュリティ強度が、世のエンジニアの皆様にとって最低限必要（仕事の時間制限があるなかでのこれだけはやっとかないとまずいという程度です）とお考えになられているのか伺いたいと思い、書き込みました。

上記はフレームワークを用いない素のスクリプトでウェブサーバーを組んだ場合の質問なのですが、追加質問で、

②DjangoやFlaskは、テンプレートで生成したフォームは、エスケープ処理も勝手に実装してくれているという説明をみたので、フレームワークで構築していく分には心配は少ないかなと楽観的なのですが、フレームワークの場合でも自分で追加でエスケープ処理などのサニタイジングやっとかないとまずいという部分もしご存知でしたら、伺えればと思います。

ざっくりとした質問で申し訳御座いませんが、ご協力いただけると幸いに存じます。よろしくお願いします。

行動規範の内容に同意します

回答3件

ベストアンサー

IPAにまとまった資料があります。
安全なウェブサイトの作り方
ここのPDFは一通りやる必要があるかと。

フレームワークでエスケープ処理が実装されている場合は積極的に利用し、自身で何かする処理を入れないようにするのが通常かと思います。自身で中途半端に介入することで元の意図とズレた動作をし、エスケープが正常にされない事態を回避するためです。
また、その処理を一通り追って、納得しておくとより強固に利用することが可能です。
＊フレームワークによっては、エスケープ処理を謳っていながら、穴のある実装である場合もあるようです。

投稿2016/05/21 08:59

退会済みユーザー

総合スコア0

bin_300K

2016/05/21 16:14

ありがとうございます！　「安全なウェブサイトの作り方」勉強に活用させていただきます！なるほど、フレームワークのコードを追うこともチャレンジしてみます！

行動規範の内容に同意します

下記書籍をお勧め致します。
こちらの書籍を読み、セキュリティ対策の考え方や具体的な手法が学べました。
十分、業務としても通用する内容だと思います。

体系的に学ぶ安全なWebアプリケーションの作り方脆弱性が生まれる原理と対策の実践
https://www.amazon.co.jp/dp/B00E5TJ120/ref=dp-kindle-redirect?_encoding=UTF8&btkr=1

また、IPAが公開しているセキュリティ対策情報も参考になるかと思います。

安全なウェブサイトの作り方
https://www.ipa.go.jp/security/vuln/websecurity.html

投稿2016/05/21 09:02

takyafumin

総合スコア2335

takyafumin

2016/05/21 09:03

IPAサイトに関して、te2jiさまの回答と同じでしたね。。。それだけ、参考になるということで。

bin_300K

2016/05/21 16:15

ありがとうございます！２名のエンジニアの方からのおすすめということで、ありがたいと思いました。おすすめ本も含め、勉強に活用させていただきます！

行動規範の内容に同意します

質問文を見ていると、基本的にはサーバー側のセキュリティの話だと思うのですが、クライアント側から見た場合のセキュリティと言うのもあります。セッション管理（ユーザーがログアウトしないで接続を切った場合、クッキーをちゃんと消すとかなんとか）とか、Remember Meのような機能はつけないほうが（仕様として）いいだろうとか。細かいことが沢山あります。あと、フォーム周りはCRSF対策をするとか…。この辺、サーバーの運用者としてのセキュリティなのか、ウェブアプリ開発者としてのセキュリティなのかで、重点が変わったりもすると思います。

ぶっちゃけ、セキュリティに関して網羅しようと思ったら、それだけですごい知識を要求されてしまうので、自作するより、とりあえずフレームワークを信用して、という姿勢も「あり」なのではないかと思います。ただし、フレームワークの仕様をちゃんと把握していないと、セキュリティ的にはOFFにした方がいい機能が、デフォルトでONになってたりするのを見落としていて、しかもなんでそれがダメかすらわからない…などと言うことになりかねません。

というわけで、このご時世、分かった気になって自作をするより、自分より優秀な人たちが作成したライブラリやフレームワークの仕様を、ちゃんと理解できるまで勉強してみるというのが最短なのではないでしょうか。そういうなかで、「あー、こういうパターンもあんのか」という発見があり、それが積み重なって鼻が利くようになります。実際、知識としてあっても、自分で全部実装すると、案外見落としがちですしね…。

また、ウェブサイトに関していえば、セキュリティをテストするためのアプリケーション（オープンソースでいくつか）が配布されていたりもしますので、そういうツールで自作のサイトを「攻撃」して学ぶ、というのも実践的でよいかもしれません。その手のツールには、一通りの攻撃手法が含まれていますので、どんなやり方があるのかも学べますしね。

あと、そもそも論としてHTTPプロトコルについて学ぶ…というのがすごく大事です。フレームワークなどを使ってウェブサイトを作ると、あまりに簡単にできてしまうので見落としがちですが、背後で動いているのは、文字列を乗せたパケットが、サーバーとクライアントの間でやり取りされるというプロセスです。認証の仕組みなどについても、プロトコルが分かっていないとセキュリティもなにもないので、この辺の知識もしっかり学んでおいた方がいいと思います（たとえば、ユーザーがこの画面で、この動作をしたとき、HTTPとしてはどのような通信が背後で行わているのか？というのをちゃんと想像できる…とか）。

投稿2022/02/16 08:57