security

前の記事にも書いたけど、ネットショップを構築する時はセキュリティにほんと気をつけないとえらいことになる。
以下の7つぐらいのポイントは理解しておこう。正直全部やるかどうかはあれだけど、予算に合わせて必要なポイントは押さえよう。1,2,3,4,7はなにがなんでも必須のポイント。予算がなくてこのポイントを押さえられない場合は、基本機能で対応しているASPサービスや楽天を利用しよう。

1. 入力検証および不正データ入力時の無効化
2. 認証と承認
3. 適切なパスワード、セッション情報
4. 機密データの暗号化
5. 機密情報へのアクセス制御と情報漏えい防止
6. 監査とログ記録
7. OSやミドルウェアレベルのパッチ適用など

※ECサイト運営者の方にチェックしていただきたいポイントというページに上記のネットショップ用のチェックポイントの詳細が記載されています。
　
IPAのサイトも3ヶ月ぐらいぶりに見るとすごくよくなっていてびっくりした。特にセキュリティ実装 チェックリスト（Excel形式、33KB）はよく出来ていてそのまま会社でも使えそう。
　

ECサイトを構築する際に気をつけるべきことの一つに、クレジットカード情報がある。あまり深く考えず会員テーブルにクレジットカード情報を持たせると漏洩した時にたいへんなことに

アウトドア品「モンベル」１万人の情報盗難

アウトドア用品メーカー「モンベル」（大阪市西区）は23日までに、同社の通販サイトが中国から不正アクセスを受け、顧客約１万1500人分のクレジットカード情報が盗まれたと発表した。うち100人以上のカード情報がチケット購入などに不正利用された可能性がある。同社は大阪府警に被害届を提出。府警は不正アクセス禁止法違反容疑で捜査を始めた。

　モンベルによると、盗まれたのは2009年11月～10年１月26日に同社サイトで買い物をした約１万1500人分のカード番号など。１月 25、26日に同社のサーバーが断続的に中国から不正アクセスされていた。

　この直後、何者かが盗まれたカード番号を使い、インターネットでコンサートのチケットを相次いで購入していた。転売して不正に利益を得る目的だったとみられ、被害者は100人以上になる可能性があるという。

個人情報漏洩のリスクはできるだけ減らした方がいい。だからクレジットカード情報は決済代行会社にあずけてしまいましょう。

■以下の決済代行会社ならだいたいあずかってくれるはず

ネットビジネスに安心な決済〜ソフトバンク・ペイメント・サービス
クレジットカード決済 GMOペイメントゲートウェイ株式会社
クレジットカード決済・コンビニ決済・ペイジー決済なら【ペイジェント】
安全なクレジットカード決済、コンビニ決済、電子マネー決済、ネットバンク決済を提供｜SBIベリトランス株式会社
　
　

ひとつは、セッション名の変更。

もう一つは有効期限の設定。

第6章 - コントローラレイヤーの内側

php のセキュリティをざっと理解するには↓↓

入門PHPセキュリティ

posted with amazlet at 09.02.24

クリス シフレット
オライリージャパン
売り上げランキング: 40453

おすすめ度の平均:

薄くて充実

Amazon.co.jp で詳細を見る