知らない間にあぶねぃ REST
HTTPの事本当に理解してないなぁと思ったので
- 作者: Christopher Wells,牧野聡
- 出版社/メーカー: オライリー・ジャパン
- 発売日: 2008/02/19
- メディア: 大型本
- 購入: 5人 クリック: 53回
- この商品を含むブログ (18件) を見る
この本買ってみた。セキュリティーの本だけど、HTTPやらWebAPIの手順が事細かに載っているのでHTTPの本より分かりやすいと思った。
適当にWebアプリ作ってたので、セキュリティーの事全然考えてなかったけど、コレは怖いと感じたのでメモ
Python使ってない人には、関係ないかもしれないです。
JSONのフォーマットと、Pythonの配列と辞書はまったく同じ書き方をします。Python使いとしてはこれは、便利だなぁと感じてました。そのままevalしちゃえばいいから・・・
実際いろんなところでevalしてるし・・・
まさか、JSON以外のレスポンスがくるなんて思ってもないし・・・
知らないことって怖いです。平気でレスポンスをevalしてました。
実際対策としては、実行コード送られてしまうかもしれないからsimplejsonとかかますしかないのかな?ということは、xmlでも利便性は変わらない。せっかく文言同じなのに・・・メリットがなくなってしもうたよ。
っていうか、JavaScriptもJSONをevalしてるんだけどこれも、良くないって事なのか?クライアントにはデータは無いから問題ないのかな?
いや、キー入力を監視してどこかに飛ばすコードを仕込まれることがあるのか?いや、他人のクライアントには無理か?
そもそも、悪いことをする発想が無い人は、セキュリティーを究極的に高めることは出来ないのじゃなかろうか・・?