✅Webサービス公開前のチェックリスト2024/07/04に公開2025/11/2713件WebtechDiscussiontakecchi2024/07/04に更新凄く有益な記事をありがとうございます! 普段意識してはいるものの言語化できていないことが多いので、 こういったチェックシートは大変ありがたいです...! 認証に関わるCookieの属性 XSSが発生した際にはcredentials:includeで叩かれるので無意味だ!なんて話も聞きますが、 攻撃者が認証情報を手にして手元の端末から好き勝手叩かれるようなことは無くなるので緩和策にはなるんですよね。 重要な情報へのアクセスにはパスワードを必須化するといった設計の話も組み込まれておりますし、要点が箇条書きでまとまっており大変読みやすいです。 是非いろんな人に見てもらいたいですね。 catnose2024/07/04ありがとうございます。まだ欠けているポイントが多くありそうなので、気付き次第加筆修正しようと思います。 返信を追加r-sugi2024/07/04すごい勉強になりました! 返信を追加yokotaso2024/07/05有益な記事の執筆ありがとうございます。勉強になりました! 認証に関わるCookieの属性 Cookieの設定が不適切な場合、ブラウザ側でCookieを拒否して安全性を高める仕様があります。 https://asnokaze.hatenablog.com/entry/2024/05/07/002720#Cookie名プレフィックス-Cookie-Name-Prefixes https://caniuse.com/?search=Cookie prefixes Secure属性が設定されていること クッキー名のプレフィックスに __Secure- をつけると、Secure属性を持たないCookieはブラウザで拒否されます。 Domain属性が適切に設定されていること クッキー名のプレフィックスに __Host- をつけると、Secure属性・Path属性==/・Domain属性無しを満たさないクッキーはブラウザで拒否されます。 すでにご存じでしたら、すいません。 catnose2024/07/05有益な情報をありがとうございます。記事本文にも追記しておきます! 返信を追加Loc2024/07/08とても参考になる記事ありがとうございます! 決済機能をつける場合 私の場合、こちらにサブスクリプション決済が有効期限切れなどでエラーが出た際に、アプリケーション側でしっかり管理できているかを追加しますね! 何度か失敗しているものでして・・・! catnose2024/07/08ハマりやすいところですよね。追記しておきます! 返信を追加kbaba10012024/07/09有益なリストをありがとうございます! パフォーマンスのところでSQLでN+1問題が発生していないかもよくチェックします。 返信を追加renadachi2024/07/18(パスワードでログインがある場合)/.well-known/change-passwordを実装するとかどうでしょう https://blog.bokken.io/articles/2023-05-31/about-well-known-change-password.html catnose2024/07/19/.well-known/security.txtと合わせて検討すると良さそうですね! 返信を追加r-sugi2024/07/31質問 利用ライブラリの脆弱性(例: npm auditの結果がhigh, criticalなど)もこの記事の観点に含まれますか? 返信を追加sta3日前好みやスタンス次第でしょうが、クロスブラウザ観点があった方がいいかもしれません。 私は Firefox なのですが、レイアウトが崩れる例が(比較的メジャーなサービスでも)たまにあります。 catnose2日前たしかに書かれてなかったですね!追記しておきます。 返信を追加
takecchi2024/07/04に更新凄く有益な記事をありがとうございます! 普段意識してはいるものの言語化できていないことが多いので、 こういったチェックシートは大変ありがたいです...! 認証に関わるCookieの属性 XSSが発生した際にはcredentials:includeで叩かれるので無意味だ!なんて話も聞きますが、 攻撃者が認証情報を手にして手元の端末から好き勝手叩かれるようなことは無くなるので緩和策にはなるんですよね。 重要な情報へのアクセスにはパスワードを必須化するといった設計の話も組み込まれておりますし、要点が箇条書きでまとまっており大変読みやすいです。 是非いろんな人に見てもらいたいですね。 catnose2024/07/04ありがとうございます。まだ欠けているポイントが多くありそうなので、気付き次第加筆修正しようと思います。 返信を追加
yokotaso2024/07/05有益な記事の執筆ありがとうございます。勉強になりました! 認証に関わるCookieの属性 Cookieの設定が不適切な場合、ブラウザ側でCookieを拒否して安全性を高める仕様があります。 https://asnokaze.hatenablog.com/entry/2024/05/07/002720#Cookie名プレフィックス-Cookie-Name-Prefixes https://caniuse.com/?search=Cookie prefixes Secure属性が設定されていること クッキー名のプレフィックスに __Secure- をつけると、Secure属性を持たないCookieはブラウザで拒否されます。 Domain属性が適切に設定されていること クッキー名のプレフィックスに __Host- をつけると、Secure属性・Path属性==/・Domain属性無しを満たさないクッキーはブラウザで拒否されます。 すでにご存じでしたら、すいません。 catnose2024/07/05有益な情報をありがとうございます。記事本文にも追記しておきます! 返信を追加
Loc2024/07/08とても参考になる記事ありがとうございます! 決済機能をつける場合 私の場合、こちらにサブスクリプション決済が有効期限切れなどでエラーが出た際に、アプリケーション側でしっかり管理できているかを追加しますね! 何度か失敗しているものでして・・・! catnose2024/07/08ハマりやすいところですよね。追記しておきます! 返信を追加
renadachi2024/07/18(パスワードでログインがある場合)/.well-known/change-passwordを実装するとかどうでしょう https://blog.bokken.io/articles/2023-05-31/about-well-known-change-password.html catnose2024/07/19/.well-known/security.txtと合わせて検討すると良さそうですね! 返信を追加
sta3日前好みやスタンス次第でしょうが、クロスブラウザ観点があった方がいいかもしれません。 私は Firefox なのですが、レイアウトが崩れる例が(比較的メジャーなサービスでも)たまにあります。 catnose2日前たしかに書かれてなかったですね!追記しておきます。 返信を追加
Discussion
凄く有益な記事をありがとうございます!
普段意識してはいるものの言語化できていないことが多いので、
こういったチェックシートは大変ありがたいです...!
XSSが発生した際には
credentials:includeで叩かれるので無意味だ!なんて話も聞きますが、攻撃者が認証情報を手にして手元の端末から好き勝手叩かれるようなことは無くなるので緩和策にはなるんですよね。
重要な情報へのアクセスにはパスワードを必須化するといった設計の話も組み込まれておりますし、要点が箇条書きでまとまっており大変読みやすいです。
是非いろんな人に見てもらいたいですね。
ありがとうございます。まだ欠けているポイントが多くありそうなので、気付き次第加筆修正しようと思います。
すごい勉強になりました!
有益な記事の執筆ありがとうございます。勉強になりました!
Cookieの設定が不適切な場合、ブラウザ側でCookieを拒否して安全性を高める仕様があります。
クッキー名のプレフィックスに
__Secure-をつけると、Secure属性を持たないCookieはブラウザで拒否されます。クッキー名のプレフィックスに
__Host-をつけると、Secure属性・Path属性==/・Domain属性無しを満たさないクッキーはブラウザで拒否されます。すでにご存じでしたら、すいません。
有益な情報をありがとうございます。記事本文にも追記しておきます!
とても参考になる記事ありがとうございます!
私の場合、こちらにサブスクリプション決済が有効期限切れなどでエラーが出た際に、アプリケーション側でしっかり管理できているかを追加しますね!
何度か失敗しているものでして・・・!
ハマりやすいところですよね。追記しておきます!
有益なリストをありがとうございます!
パフォーマンスのところでSQLでN+1問題が発生していないかもよくチェックします。
(パスワードでログインがある場合)
/.well-known/change-passwordを実装するとかどうでしょう/.well-known/security.txtと合わせて検討すると良さそうですね!質問
利用ライブラリの脆弱性(例: npm auditの結果がhigh, criticalなど)もこの記事の観点に含まれますか?
好みやスタンス次第でしょうが、クロスブラウザ観点があった方がいいかもしれません。
私は Firefox なのですが、レイアウトが崩れる例が(比較的メジャーなサービスでも)たまにあります。
たしかに書かれてなかったですね!追記しておきます。