当たり前のことが当たり前に守られないのが、現場。難しいよねぇ。

既に公開されている記事もこれから公開される記事も当たり前の事ばかり書いてあります。しかし、既に公開済みの5つのアドバイスを全て守っているサイトやアプリケーションを見つけるのはかなり難しいです。例えば、ほとんどのサイトやアプリケーションはセッションIDを十分な頻度で更新していません。これから他のアドバイスも掲載されますが全て実践しているサイトは無いと思います。様々な制約もあるので全て実践するのは難しいですが、こういった事に気をつけなければならない事を理解していただければと思っています。

• 【スクリプトインジェクション対策01】セッションクッキーを利用する：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社
• 【スクリプトインジェクション対策02】セッションIDを頻繁に変更する：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社
• 【スクリプトインジェクション対策03】セッションIDが利用できる範囲を制限する：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社
• 【スクリプトインジェクション対策04】不正なセッションIDの利用がないか記録する：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社
• 【スクリプトインジェクション対策05】文字エンコーディングは必ずHTTPヘッダで指定する：なぜPHPアプリにセキュリティホールが多いのか?｜gihyo.jp … 技術評論社