Web2py-セキュリティ

前の章では、さまざまなツールを使用したweb2pyの実装に関する完全な情報がありました。 web2pyアプリケーションの開発に関する主な懸念は、ユーザーの観点からのセキュリティです。

web2pyのユニークな機能は次のとおりです-

• ユーザーは簡単に実装を学習できます。 インストールや依存関係は必要ありません。
• ローンチ当日から安定しています。
• web2pyは軽量で、データ抽象化レイヤーとテンプレート言語のライブラリが含まれています。
• Webサーバーとアプリケーション間の通信として機能するWebサーバーゲートウェイインターフェイスの助けを借りて動作します。

Open Web Application Security Project（OWASP）は、Webアプリケーションのセキュリティ違反をリストするコミュニティです。

セキュリティ違反

OWASPに関して、Webアプリケーションに関連する問題とweb2pyがそれらをどのように克服するかを以下で説明します。

クロスサイドスクリプティング

XSSとも呼ばれます。 アプリケーションがユーザー提供のデータを取得し、コンテンツをエンコードまたは検証せずにユーザーのブラウザーに送信するたびに発生します。 攻撃者は、クロスサイドスクリプティングを使用してスクリプトを実行し、ワームとウイルスを注入します。

web2pyは、 View でレンダリングされたすべての変数を防止することにより、XSSの防止に役立ちます。

情報漏洩

時々、アプリケーションは内部の仕組み、プライバシー、構成に関する情報を漏らします。 攻撃者はこれを使用して機密データを侵害し、深刻な攻撃につながる可能性があります。

web2pyはチケットシステムによりこれを防ぎます。 すべてのエラーを記録し、エラーが登録されているユーザーにチケットが発行されます。 これらのエラーは、管理者のみがアクセスできます。

壊れた認証

多くの場合、アカウントの資格情報は保護されていません。 攻撃者は、パスワード、認証トークンを侵害して、ユーザーの身元を盗みます。

web2pyは、管理インターフェースのメカニズムを提供します。 また、クライアントが「localhost」ではない場合、安全なセッションの使用を強制します。

安全でない通信

アプリケーションがネットワークトラフィックの暗号化に失敗する場合があります。 機密性の高い通信を保護するには、トラフィックを管理する必要があります。

web2pyはSSL対応の証明書を提供して、通信の暗号化を提供します。 これは、機密通信を維持するのにも役立ちます。

URLアクセスの制限

Webアプリケーションは通常、一部のユーザーへのリンクとURLの表示を防止することにより、機密機能を保護します。 攻撃者は、URLに何らかの情報を操作することにより、一部の機密データを侵害しようとすることができます。

wb2pyでは、URLは指定されたファイルではなくモジュールと機能にマップされます。 また、どの機能がパブリックであり、どの機能がプライベートとして維持されるかを指定するメカニズムも含まれています。 これは、問題の解決に役立ちます。