When it’s ready.

出来るまで出来ない

知らない間にあぶねぃ REST

HTTPの事本当に理解してないなぁと思ったので

Ajaxアプリケーション & Webセキュリティ

Ajaxアプリケーション & Webセキュリティ


この本買ってみた。セキュリティーの本だけど、HTTPやらWebAPIの手順が事細かに載っているのでHTTPの本より分かりやすいと思った。

適当にWebアプリ作ってたので、セキュリティーの事全然考えてなかったけど、コレは怖いと感じたのでメモ

Python使ってない人には、関係ないかもしれないです。

JSONのフォーマットと、Pythonの配列と辞書はまったく同じ書き方をします。Python使いとしてはこれは、便利だなぁと感じてました。そのままevalしちゃえばいいから・・・

実際いろんなところでevalしてるし・・・
まさか、JSON以外のレスポンスがくるなんて思ってもないし・・・
知らないことって怖いです。平気でレスポンスをevalしてました。

実際対策としては、実行コード送られてしまうかもしれないからsimplejsonとかかますしかないのかな?ということは、xmlでも利便性は変わらない。せっかく文言同じなのに・・・メリットがなくなってしもうたよ。

っていうか、JavaScriptもJSONをevalしてるんだけどこれも、良くないって事なのか?クライアントにはデータは無いから問題ないのかな?
いや、キー入力を監視してどこかに飛ばすコードを仕込まれることがあるのか?いや、他人のクライアントには無理か?

そもそも、悪いことをする発想が無い人は、セキュリティーを究極的に高めることは出来ないのじゃなかろうか・・?