質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.51%
iOS

iOSとは、Apple製のスマートフォンであるiPhoneやタブレット端末のiPadに搭載しているオペレーションシステム(OS)です。その他にもiPod touch・Apple TVにも搭載されています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

Swift

Swiftは、アップルのiOSおよびOS Xのためのプログラミング言語で、Objective-CやObjective-C++と共存することが意図されています

Q&A

解決済

1回答

2216閲覧

CakePHPを使用した際のセキュリティや構築設計について

dpjgt4034

総合スコア13

iOS

iOSとは、Apple製のスマートフォンであるiPhoneやタブレット端末のiPadに搭載しているオペレーションシステム(OS)です。その他にもiPod touch・Apple TVにも搭載されています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

Swift

Swiftは、アップルのiOSおよびOS Xのためのプログラミング言語で、Objective-CやObjective-C++と共存することが意図されています

0グッド

1クリップ

投稿2016/08/28 09:42

編集2016/08/28 09:47

こんばんは。
CakePHPおよびサーバーサイド初心者です。

現在ウェブサービスを作成していまして、デスクトップ版およびiOSネイティブアプリでの
リリースを考えています。
まずはiOSネイティブアプリ(言語はSwift)をメインに作成しており、デスクトップ版はまずはサービスの紹介ページとして作成し、後々しっかりと作りこんでいく予定です。

構築環境としては、以下になります。
・サーバー:クラウドを借りてその上にCentOSを構築
・DB:MySQL
・Webアプリケーション:両方ともCakePHPを使用する
・その他
※まずはiOSアプリ版をメインとし、デスクトップ版はサービスの紹介ページとして
使用するため、直近でCakePHPを使用するのはiOSアプリ版のみとする。
※iOS版のCakePHPおよびデスクトップ版のhtml等のソースは同一サーバー上(ドメイン上)に置いている

その上で、以下質問がございます。

▼CakePHPでのセキュリティについて
例えば、投稿された記事のコメント一覧を取得するとした場合に
iOS側ではCakePHPのコントローラー側で定義された特定のアクションに
アクセスするために、下記のようなコードをURLとし、Alamofireを使用してGETリクエストをサーバーに送り、該当するデータをJSONに変換してiOSアプリ上で表示させるという処理を行うと思います。

Swift

1let url_for_alf = "www.hoge.com/article/comment/index/\(self.userId)"

PHP

1//CakePHP側 2class CommentsController extends AppController { 3 4 function index(){ 5 //処理を記載 6 } 7}

その上で、セキュリティ上の質問がございます。
iOSアプリではなくブラウザを立ち上げたユーザーが、上記で記載したURLを直接検索窓に"www.hoge.com/article/comment/index/2"のように入力した場合、ブラウザ上にDBから取得してきたデータがブラウザ上に出力されてしまう、または何らかの方法でデータを取得できてしまったり、CakePHPのアクションが実行されてしまうのでしょうか?

現在iOSアプリ版のCakePHPおよびデスクトップ版のソースを同じドメイン(サーバー)下に配置しているため、デスクトップのブラウザ上からwww.hoge.comにアクセスして来たユーザーが故意に上記のようなURLを叩いた際に、iOSアプリ版のCakePHPにおいて予期せぬアクションが実行されたりしてデータが改ざんされたり、セキュリティホールになりえるのではないかと心配しています。

もし上記が私の言うとおりであるならば、これを回避する方法としてどのような方法がございますでしょうか?
例えば、下記のようにiOS版のCakePHPを管理するサーバー・ドメインとデスクトップ版のサーバー・ドメイン別個に切り分けて対応するといったことでしょうか。
(例)
www.hoge.com -> デスクトップ版用のサーバーやCakePHPを管理するドメイン
www.hogehoge.com -> iOSアプリ版用のサーバーやCakePHPを管理するドメイン

まだ勉強し始めた者なので、わかりづらい部分もあるかと思いますが、何卒よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

OSアプリではなくブラウザを立ち上げたユーザーが、上記で記載したURLを直接検索窓に"www.hoge.com/article/comment/index/2"のように入力した場合、ブラウザ上にDBから取得してきたデータがブラウザ上に出力されてしまう、または何らかの方法でデータを取得できてしまったり、CakePHPのアクションが実行されてしまうのでしょうか?

WEB API である以上、通常のブラウザでアクセスしたのと同様の動きをします。
ユーザーIDとパスワードでログインするような仕組みを持つアプリケーションに、認証なしで閲覧できるようであれば論外ですが、そうでないのであれば問題ではないと思います。
認証すべきアプリケーションであるなら、APIトークンを発行するなどして認証すればよろしいかと思います。

投稿2016/08/28 10:30

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

dpjgt4034

2016/08/28 11:17

コメント頂き、ありがとうございます。 今回作成するiOS版アプリにおいては、ユーザーIDまたはメールアドレスとパスワードでログインした上で使用するサービスを作成しており、CakePHPもそれに応じたものに作成しています。 そうであれば、仰るようにブラウザからCakePHPにアクセスしてくる際に何らかの認証を行わなければならないという認識でよろしかったでしょうか? また、APIトークンについて理解があまりありませんので、他に考えられる認証方式としてどのようなものがありますでしょうか?
退会済みユーザー

退会済みユーザー

2016/08/28 11:22

> 他に考えられる認証方式としてどのようなものがありますでしょうか? 電子証明書を使ったクライアント認証
dpjgt4034

2016/08/28 14:37

ありがとうございます。 ちなみに、同様のセキュリティ対策として、CakePHPのAuth Componentsを利用し、beforeFliter()関数でログイン前のアクションのみ許可することで対応することは可能でしょうか?
退会済みユーザー

退会済みユーザー

2016/08/28 14:57

CakePHP は利用経験ないため回答できません。 とはいえ、CakePHPはフレームワークであってCMSではないので、技術があればできるのではないでしょうか?
kunai

2016/08/29 01:54

AuthComponent利用でも可能ですが、その場合はあくまでSessionの管理になります。 個人的には、Kousuke_Shibuyaさんがおっしゃられているようなアクセストークンの実装が好ましいと思いますね。 アクセストークンの認証にAuthComponentを使う事も出来ます。 (認証を自動化せず、個別に認証を発動させるやり方で)
dpjgt4034

2016/08/29 04:21

お二人ともありがとうございます。 CakePHP側のAuth Componentを利用可能であること、またアクセストークンの実装が望ましいとのこと、把握しました。 こちらにて実装を検討したいと思います
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.51%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問