若き日本人科学者が超有名クラッカー ケビンミトニックを追跡し逮捕にいたるまでのドキュメンタリー。
若き日本人科学者というのは、2008年にノーベル化学賞を受賞した下村脩氏の息子の下村努氏。

下村努氏自ら書いたドキュメンタリーであるが、小説よりもよっぽど面白い。というのも、事実に基づいているだけに、ミトニックの手口が非常にリアリティがあり、追跡過程も矛盾点がないのだ。安っぽいミステリー小説にありがちなつっこみどころが存在せず、納得しながら読めた。
しかも単に技術的な話に終始せず、恋愛的要素も入っている。だから小説よりもおもしろい。
ただしどうしてもコンピュータや電話に関する技術的な話が多いので、そのあたりの知識がない人には逆にちんぷんかんぷんになって面白くない可能性はある。

この本が書かれたのは1995年。まだ日本ではインターネットが一般家庭では利用できない時期であったが、すでにそのころから本格的なクラッキングが行われ、不正侵入や情報漏えいが行われていたことには興味がある。まぁIPスプーフィング、.rhosts、sendmailのバグといったところがメインの侵入手段であり、現在では技術的・思想的に改善されてきてはいるのだが。

現在でもインターネットの世界では、クラッキングが行われている。
仕事でインターネットに関わっている技術者には、ぜひとも読んでもらいたい1冊である。

タイトル通りウェブアプリケーションのセキュリティについて書かれた技術書。
約500ページのボリュームにも驚くが、内容も十分に濃い。
特にSQLインジェクションに関する章には驚かされた。MQL Server、Oracle、PostgreSQL、MySQLについてそれぞれセキュリティ上の特徴をあげ、どのように攻略していくかをこと細かく書いているのだ。
ウェブアプリのプログラムを行う人は、この章を読むだけでも十分勉強になるだろう。

著者の長所は、単にコンサルタント的にセキュリティ脆弱点を解説するのではなく、自身がプログラムを書いているのでプログラマーの視点からも解説できる点。しかも自身で作成したWAF(Guardian@jumperz.net)でセキュリティ観測もしており、どういう攻撃が来たかまで解説している。
言ってみれば、プログラマー、サーバ運用者、クラッカーの1人3役をこなしている。

XSSやCSRFなどの解説もあるのだが、個人的に気になったのはセッション管理。
Strictな言語でもPermissiveな言語でもSession Fixation には脆弱とのこと。たしかにStrictであっても攻撃者が取得したセッションIDをターゲットに使わせてしまえばStrictであってもダメだなあ。。。
対策としては、セッションの持つ価値が変化する際(ログイン、カートに入れる、決済等)にセッションIDを変更することか。。。たしかにそうだがプログラム面倒になるなぁ。。。

UNICODE文字の16進数表示は次のURLで見れるのか。
http://www.fileformat.info/info/unicode/char/search.htm

本書はウェブアプリ構築・運用に関わる人に読んでもらいたい1冊。

オブジェクト指向PGやフレームワーク、UML、モデリングなどについて経験豊富な著者が概要を解説している。オブジェクト指向を使うと、現実世界をそのままプログラムとして表現できるというのは勘違いであるという著者の主張には同意できるが、広く浅く概要の紹介という感じがして、すでに自らオブジェクト指向のプログラムを書いている人にとっては物足りないのではないか。
これからオブジェクト指向について勉強したい人、もしくはプログラムは書いていないがプロジェクトマネージャーの立場でソフトウェア開発の効率化を考えている人には概要を把握できるという意味でお薦めできる1冊である。

本屋でたまたま見つけた。PHPのプログラムを書くことがあるので目を通してみたら、フレームワークについて特集記事があった。プログラムを書く上でロ ジックの再利用、セキュリティ対策を考慮するとフレームワークを利用したほうが楽だなぁと思っていたところだったのでちょうどよい記事だった。特に代表的 なフレームワーク3種類に関してはソースコードを掲載して、それぞれを比較していた。立ち読みですまそうと思っていたが内容がすばらしいので購入した。 SNSのGree作成に使われているというフレームワークEthnaが表示に気になる。
フレームワーク以外にもamazonなどへのWebサービス連携、地図サービスやuCurlの話もあるのでお薦めの1冊。