Ajaxアプリケーション & Webセキュリティ

Ajaxアプリケーション & Webセキュリティ』を読んだ。タイトルに Ajax とあるが、内容は Ajax にフォーカスしているのではなく、浅く広いインターネットセキュリティの解説書となっている (TOC)。

得た知識に、脅威を分類する STRIDE モデルがあった。

STRIDE モデル

Spoofing (詐称)
アプリケーション内で正当な権限を持つユーザー、コンポーネント、サービスなどのシステムになりすまします。
Tampering (改ざん)
システム内のデータを書き換えます。
Repudiation (否認)
記録が残されることなしに悪事を行います。
Information disclosure (情報の流出)
本来な見ることができないデータを取得します。
Denial of service (サービス拒否)
他のユーザーがアプリケーションやデータにアクセスできないようにします。
Elevetion of privilege (権限の昇格)
高い権限を獲得し、通常は許可されない操作を実行します。