Ajaxを用いクライアントサイドとサーバーサイドを完全に切り離した開発を行おうと考えています。閲覧にログインが必要なコンテンツがあるウェブサービスで、会員専用ページもそうでないページも全てクライアントサイドは静的ファイル(HTML・JSなど)で、Ajaxによりサーバーサイドとのデータ送受信をJSON形式で行い静的HTML内のコンテンツを動的に描画という設計を考えています。


そうすれば、各ページで送受信するJSONデータのフォーマットさえきっちり決めておけば完全にクライアントサイドとサーバーサイドの開発を分けて行え効率的にウェブサービスを開発できると思うのですが、如何でしょうか。
この様な形式をとった事例を知らないので、根本的にセキュリティ的な脆弱性を抱えているのかもしれないと心配になり質問を投稿させて頂きました。

このような開発形式の可否、または可能な場合でも、考え得る脆弱性や、見落としやすいと思われるセキュリティ対策ポイントなど、アドバイス頂ければと思います。
会員専用ページのコンテンツデータは全てAjaxにより取得する予定なので静的html自体は非会員に閲覧されても問題無い内容とします。

回答の条件
  • 1人10回まで
  • 200 ptで終了
  • 登録:2010/02/10 14:40:07
  • 終了:2010/02/17 14:45:03

回答(21件)

ただいまのポイント : ポイント33 pt / 200 pt ツリー表示 | 新着順
ソース baron2010/02/16 22:12:02ポイント2pt
javascriptだとソースコードが丸見えですよ
問題ありません。 supermomonga2010/02/17 12:26:32
ありがとうございます。 Ajax(Javascript)を使う以上それは前提条件なので、当然把握しています。 それによって起こりうる脆弱性やその対策は何でしょうか?
人的脆弱性が発生しやすいのでは aa777aa2010/02/13 20:45:17ポイント2pt
2カ所で開発が行われると、開発スタッフを一括管理ができない。2カ所の内部管理が違うと非常勤増員や人事異動に管理のスキができやすい。資料を両者間で持ち出したり、郵送時にミスがでやすい。
2ヶ所で開発? supermomonga2010/02/15 13:07:26
2ヶ所で開発とはどういうことでしょうか。クライアントサイドとサーバーサイドを個別の開発チームで分けるということですか? もちろんそれも可能ですが、目的は飽くまでシステムのモジュール化に近い構築方法の採 ...
XSRF対策 horonict2010/02/10 15:09:11ポイント3pt
クライアント=サーバ通信において、悪意のある通信に割り込まれないように対策を施します。
トークン認証のみで良いでしょうか supermomonga2010/02/10 20:56:56
XSRF,CSRF対策はワンタイムトークン方式もしくはセッションID毎の固定トークン方式を採用しようと考えています。十分でしょうか? リファラチェックは工数に対しての信頼性向上率があまり高くないと思い実装を見送る予 ...
十分ということはないのですが horonict2010/02/14 02:36:28ポイント2pt
セキュリティ・コンサル的な言い方をすると、「十分」という方式は絶対にないんですけどね。 コストとの兼ね合いで考えれば、リファラチェックよりワンタイムトークンを導入するのが現実的でしょうね。
固定トークンとワンタイムトークンですと… supermomonga2010/02/15 12:56:52
リファラ情報は自己申告なのでリファラチェックは根本的に何か間違っている気はしますよね。デメリットも少なくないですし。 セッション毎の固定トークンとワンタイムトークンでしたら、どちらの導入を行っていま ...
(はてなにより削除しました) ウゴメモ2010/02/11 15:12:01ポイント3pt
(はてなにより削除しました)
(はてなにより削除しました) ウゴメモ2010/02/11 15:13:05ポイント3pt
(はてなにより削除しました)
(はてなにより削除しました) ウゴメモ2010/02/11 15:14:11ポイント3pt
(はてなにより削除しました)
(はてなにより削除しました) ウゴメモ2010/02/11 15:16:06ポイント3pt
(はてなにより削除しました)
(はてなにより削除しました) ウゴメモ2010/02/11 15:17:12ポイント3pt
(はてなにより削除しました)
(はてなにより削除しました) kimura12292010/02/12 19:20:28ポイント1pt
(はてなにより削除しました)
(はてなにより削除しました) ウゴメモ2010/02/11 15:21:22ポイント2pt
(はてなにより削除しました)
(はてなにより削除しました) フィルン2010/02/15 01:33:19ポイント1pt
(はてなにより削除しました)
ふぅ みさ2010/02/13 23:04:56ポイント1pt
ふぅ
んー もっくん2010/02/13 22:26:23ポイント1pt
なんかポイントポイントうるせーーw
(はてなにより削除しました) kimura12292010/02/12 19:19:09ポイント1pt
(はてなにより削除しました)
通信経路の暗号化 horonict2010/02/10 15:06:25ポイント2pt
会員ログイン/パスワードが漏洩してはいけませんから、まず、SSLなどで通信経路を暗号化します。
SSLを採用する予定です supermomonga2010/02/10 20:59:00
通信の暗号化は、必要ですよね。 SSLを用い暗号化するつもりです。

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません