第10回 Visual Studio 2005の セキュリティ NECラーニング 山崎 明子 コード分析でセキュリティ問題を 未然に防ぐ .NETのコード分析 ASP.NET Webアプリケーションのコード分析 C/C++(ネイティブ)のコード分析 コード分析:SQL インジェクション SQLインジェクションをチェック アプリケーションの検証 ClickOnceセキュリティ ClickOnceとは アプリケーションの配布を容易にする技術 アプリケーションの権限は何に基づく? 配置される場所 ローカル? イントラネット? インターネット? 署名 何ができるかが決まる ファイルへのアクセス 分離ストレージへのアクセス ClickOnceのセキュリティ設定 ゾーン内デバッグ 開発中はフルレベルの権限 → テストにならない 実行時と同じレベルの権限 実行時にどのような権限が必要か?を指定 → 適切なテスト テストツール 単体テスト 通常の実行 例外的な実行 攻撃されやすいポイントの検出 ストレス(負荷)テスト DOS攻撃 まとめ セキュリティは重要 ミッションクリティカルな大規模システム 小さなツール 社会的な影響大 小さなシステムが攻撃の踏み台にされることも・・・ Visual Studio 2005のセキュリティ関連ツールを 利用 安全なアプリケーション開発~テスト~導入 リファレンス 開発者のためのセキュリティサイト MSDNデベロッパーセキュリティセンター http://www.microsoft.com/japan/msdn/security/ 開発者向け セキュリティ オンライン セミナー http://www.microsoft.com/japan/msdn/security/seminars/ アプリケーションセキュリティの基礎 実践! セキュアなコード記述 Part 1 実践! セキュアなコード記述 Part 2 実践! .NET Framework を利用したアプリケーション セキュリ ティの実装
© Copyright 2024 ExpyDoc