bkkcast はフィードバックを積極的に受け付けています。聞いてみたいことがあれば質問箱もしくは @bkkcast まで連絡ください!

お品書き

  • 1. 最近Webサービスの脆弱性が話題になっている (0:30)
    • Peing-質問箱-(公式)の脆弱性問題
    • 質問箱のユーザーのページに行くとアクセストークンが見えている
    • 質問箱の公式アカウントが乗っ取られた
    • 宅ふぁいる便は平文でパスワードを保存されていた!?
    • サービス内にパスワードを保持すると怖い
    • 二段階認証を徹底した方がよい
  • 2. スタートアップで働くエンジニアがセキュリティ面で気をつける事1 (7:45)
    • 大企業だったら、セキュリティソフトを利用する
    • セキュリティスペシャリストのチームがある会社もある
    • XSS(クロスサイトスクリプリング)を防ぐようにする
    • モデルのデータをそのままtoJSONすると中に個人情報や認証情報が含まれないように気をつける
    • Firebaseを扱う上での脆弱性問題
    • XSSを防ぐために、<script>タグをフォームに入力してみる
  • 3. スタートアップで働くエンジニアがセキュリティ面で気をつける事2 (18:40)
    • @tejitak が以前所属していた企業だとプロダクトをリリースする時に、必ずセキュリティ診断ソフトを通す
    • @tejitak トークンらしきものが存在した時にアラートしてくれる
    • Laravel等のフレームワークはそのまま使えば、ある程度セキュリティは担保してくれる
    • 代表的なセキュリティ問題(XSS)は把握しておく
    • リリース前にHTMLのソースなどを見て、問題がないかを確認する
    • プログラミングスクールではセキュリティについて教えてくれない??
    • 現場に入らないと、なぜセキュリティ対策をしないと駄目なのか分からない