#JavaDayTokyo 2016 2-C Java EE 7アプリケーションとWebセキュリティ

HASUNUMA Kenji (Deprecated) @khasunuma_old

#jdt2016_2C へ

つりーべると犬 @tada_suzu

満員 #jdt2016_2C

HASUNUMA Kenji (Deprecated) @khasunuma_old

最前列陣取ったら仰角きつかった（でも頑張る！） #jdt2016_2C

せち🔥🐈 @setys0

満席っぽいです #jdt2016_2C

てんてん😇 @tenten0213

社内イントラの感覚わかる #jdt2016_2c

てんてん😇 @tenten0213

最初からセキュアなコードを書いておく #jdt2016_2c

まめぴか@🚘📷ワクチン💉💉 @mame_pika

スーツメガネコス浦上さん！スライドが上にありすぎて首が疲れる会場だ。 #jdt2016_2c

てんてん😇 @tenten0213

コストは無視できない→抑える方法を考える #jdt2016_2c

まめぴか@🚘📷ワクチン💉💉 @mame_pika

IPAの安全なウェブサイトの作り方 #jdt2016_2c

てんてん😇 @tenten0213

セキュリティ対策の基準として、IPAの「安全なウェブサイトの作り方」を参考にしている #jdt2016_2c

つりーべると犬 @tada_suzu

様々な攻撃パターンとその対策例 #jdt2016_2C

てんてん😇 @tenten0213

Java EEのテンプレートにおけるXSSの防ぎ方 #jdt2016_2c

まめぴか@🚘📷ワクチン💉💉 @mame_pika

□は文字化けかな #jdt2016_2C

まめぴか@🚘📷ワクチン💉💉 @mame_pika

XSS対策はデフォルトでされている。そう、JSFならね。 #jdt2016_2c

てんてん😇 @tenten0213

適切につかわれているのかのチェックはしないといかんよなー #jdt2016_2c

つりーべると犬 @tada_suzu

xss対策漏れの検知容易性の観点から評価、は参考になる #jdt2016_2C

せち🔥🐈 @setys0

セキュリティでは対策漏れをチェックできることが重要 #JavaDayTokyo #jdt2016_2C

てんてん😇 @tenten0213

次はCSRF #jdt2016_2C

つりーべると犬 @tada_suzu

CSRF対策はトークン埋め込み、サーバーでのチェック #jdt2016_2C

HASUNUMA Kenji (Deprecated) @khasunuma_old

GlassFishのREST管理チャネルは、トークンをリクエストヘッダに持たせています。 #jdt2016_2C

つりーべると犬 @tada_suzu

ログイン画面にアクセスするタイミングでトークンを作る #jdt2016_2C

つりーべると犬 @tada_suzu

トークンにはセッションID以外を使う #jdt2016_2C

てんてん😇 @tenten0213

セッションIDの漏洩リスクが上がるので、トークンには使わない方が良い #jdt2016_2c

てんてん😇 @tenten0213

Faceletsでもステートレスだと対策が必要 #jdt2016_2c

せち🔥🐈 @setys0

Faceletをステートレスで使う場合はCSRF対策が必要 #JavaDayTokyo #jdt2016_2C