例えば、自分の作ったhtml、css、javascriptだけを使ったホームページを悪意のあるユーザーがクラッキングできたりするのでしょうか?
PHPなどはドットインストールなどでCSRF対策?というものをやっていますが、PHPを使わないときは、大丈夫なのでしょうか?
そこのところがいつもあいまいで、「脆弱性」などで調べても書いてある事が難しくていつも意味がわかりません。
初心者で申し訳ありませんが、ご教授ください。よろしくお願いします。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答5件
0
例えば、自分の作ったhtml、css、javascriptだけを使ったホームページを悪意のあるユーザーがクラッキングできたりするのでしょうか?
どこにおいているかによるんじゃないかと思います
PHPなどはドットインストールなどでCSRF対策?というものをやっていますが、PHPを使わないときは、大丈夫なのでしょうか?
CSRF対策はPHP固有のものではないです。
投稿2017/06/06 15:36
退会済みユーザー
総合スコア0
0
ベストアンサー
JavaScript
1var url = decodeURIComponent(location.search.substring(3)); 2if (url) { 3 document.write(url + 'へ飛びます'); 4 setTimeout(function(url) { location.href = url; }, 5000, url); 5}
たとえばリファラをごまかすために中間ページを作り、そこにこんなスクリプトを書いておくとします。
しかしこれにはXSS脆弱性があり、Firefoxなどで任意のスクリプトを実行される可能性があります。
静的なページのみとしても気を付けておいたほうがいいのではないでしょうか?
投稿2017/06/07 02:44
総合スコア13749
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/07 12:57
2017/06/08 02:16
2017/06/08 14:34
0
クラッキングと言うのはハッキングの一部を指し、
悪意をもってコンピューター内のデータ(プログラムを含む)を消したり書き換えたりすることです。
クラッキングには、コピープロテクトなど製品に施された利用制限を取り除く行為も含まれているため、最近は後者の意味で使われることが多く、前者は単にハッキングと呼ばれているように思います。
そして、あなたが作ったデータだけでホームページを作った場合でも、
クラッキングが行われる可能性はゼロではありません。
あなたが使っているIDとパスワードがばれてしまったり、
利用しているサーバーやホームページサービスにセキュリティホールがあったりするかもしれないからです。
でも、よく言われる基本的なセキュリティ対策をきちんとやっていれば、
そう簡単にクラッキングされる事はありません。
コンピューターのセキュリティアップデートを行い、最新の状態を保つこと。
自分でインストールしたソフトがあれば、そのアップデートも忘れずに。
パスワードの管理をきちんと行う。
(簡単にバレるような簡単なものにしたり、短いパスワードにしない。人に教えないなど)
ウィルスチェックソフトを利用する(有効期限が切れていないこと)。
怪しいサイトを見ない。
怪しいソフトをインストールしない。
などです。
もちろんこれは、ホームページを設置したサーバーだけでなく、
ホームページ作成に利用しているあなたのパソコンにも必要な対策です。
尚、CSRFと言うのは、WEBの仕組みを悪用し、
利用者に本人が想定しない操作を強制的に行わせることです。
例えば銀行のネットサービスがCSRF対策を行っていないと、
その銀行のホームページを開いていないのに勝手に送金されてしまったり
掲示板がCSRF対策を行っていないと、
その掲示板を開いてもいないのに勝手に知らない文章が自分の名前で投稿されたりします。
会員制のサービスでは、被害に遭うのは正規の利用者になります。
なので、CSRF対策は、
あなたが作ったホームページにログインや投稿の機能がある場合に施す必要がある対策になります。
CSRF被害の実例
http://d.hatena.ne.jp/keyword/%A4%DC%A4%AF%A4%CF%A4%DE%A4%C1%A4%C1%A4%E3%A4%F3%A1%AA
投稿2017/06/07 02:14
編集2017/06/07 02:23総合スコア324
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/07 13:01
0
「脆弱性」などで調べても書いてある事が難しくていつも意味がわかりません
調べましょう、としか言えません。
何が難しく感じるのか分かりませんが、日本語の記事もたくさんあるので理解しようと思えばプログラムコードを読み解くよりは楽だと思います。
まずはそこを理解することから初めてはいかがでしょうか。
最近出た質問で様々なセキュリティ対策についてどんなタイミングで対応すれば良いのか
表にまとまめて回答をしてくれている人がいます。
投稿2017/06/07 01:06
総合スコア80850
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
webサーバへの攻撃にはCSRF、XSS、SQLインジェクション、DoS、バッファオーバーランなどが考えられますが、前者3つはご提示の構成ですと攻撃を受けないと思われますし、後者2つについてはおそらくレンタルサーバだと思うので質問者が対策をするのは難しいでしょう。
今のところ、あまり気にする必要はないと思います。
サーバにDBを持ちコードが走るようなもの、たとえばwordpressなどを導入した時に改めて調べてみるといいかと思います。
投稿2017/06/07 02:08
総合スコア36074
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/06/07 00:18
退会済みユーザー
2017/06/07 11:15
2017/06/07 13:02