Servletに関する書籍を読んでいるのですが、セキュリティ上の問題点がたくさんあるような感じがします。読み進めていくと、対策がでてくるのかもしれませんが…。具体的には、JavaScriptでチェックしてある値については、サーブレット側ではチェックしていなかったり、SQLインジェクション対策がされていなかったりします。直接POSTされることもあるので、まずいのではないでしょうか。
idの数値が渡されることが前提となっているところへ「1; delete from tableName; select * from tableName where id=1」なんてのがきたら表のレコードが全部消されてしまうので、数値かどうかのチェックとかは必須だったような記憶があります。
もちろん、基本的な処理の流れを理解することが大切なので、それらについて理解してからセキュリティ対策を技術を説明するというのもありだと思いますので、それでもいいのですが… とりあえず一通り読んでみようかと思います。
ちなみに、下記の@IT の記事とは別で、ちょっと古い参考書籍です。時代が古いからプログラミングも甘いのかも。
“安全”のためにTomcatを理解し、構築し、動作させる (1/3) – @IT
http://www.atmarkit.co.jp/fjava/rensai4/safetomcat_01/safetomcat_01_1.html
安全性を考えるのであれば、ダウンロード、インストール、起動時の注意点などいくつかありますが、説明が足りない部分が何点かあるようです。もちろん、過度にセキュリティを固めても使いにくくなるだけですから意味がありませんが。また、使用するOSによっても、調整方法が変わってくる部分がありますから、難しいところです。どうせなら、SELinuxまでつっこんで紹介してもらいたいところです。
久しぶりにApache Derbyをさわってみました。Mac OS X 10.3.9 でJavaプログラムを作成するにあたり、DBは何がいいのかと考えると、いくつかあるのですが、Pure Javaのものが一番簡単に導入できるからです。Java 1.4 でもDerbyは動作しますから、こういったあたりはJavaのすごいところだと思います。Write once, run anywhere なのであたり前といえばあたり前なのですが…
iBookのマウスパッドが調子悪くなって、再起動してもなおりませんでした。仕方がないので、電源を切ってハードディスクのあたりをトントンとたたいてから、電源をいれて起動したら、きちんと動くようになりました。なんとなく、かなりやばげです。
寒かった…
Vistaがsuspendすると、キーボードが認識されないという問題が発生しているような気がします。とりあえずキーボードは変えてみましたが、なんとなく間にいれてあるPC切り替え器の問題ではないかという気がしています。しばらく様子を見て、駄目そうなら、また対策を考えようかと思案中…
ちなみに、リモートデスクトップが、なぜかIPで接続しないと駄目なときがあって、サスペンドしているとそうなのかもしれないなぁ、と思いました。そういったあたりで、パワーマネジメントはなかなか難題です。
そういえば、今日はMacのACアダプタを忘れてしまって、バッテリが足りなくなってしまったりとか、携帯電話のバッテリもなくなってしまって困ったとか、パワーマネジメントはてんでなっていません。もうすこし考えねばと反省。
Mac OS X 10.3.9 では Tomcat 5.5 を実行できなさそうだと思っていたのですが、Tomcat 5.5 にもJDK1.4で実行できるコンパチブルバージョンがあり、無事実行することができました。もちろん、ジェネリックとかは使えないので不便なのですが、動かないよりはましです。
とりあえず、ちょっとしたプログラムであれば、Mac OS X 10.3.9 の Tomcat環境で動作するものを作成してしまうというのでいいかなぁ、と思いつつあります。JSPを使えば、PHPなみの手軽さで、かつ、PHPよりもわかりやすいプログラムをかけるような気がするのですが、気のせいでしょうか。世の中でJSPアプリがはやっていないことを見ると、気のせいのような気もしますが。