『Ajaxアプリケーション & Webセキュリティ』を読んだ。タイトルに Ajax とあるが、内容は Ajax にフォーカスしているのではなく、浅く広いインターネットセキュリティの解説書となっている (TOC)。
得た知識に、脅威を分類する STRIDE モデルがあった。
STRIDE モデル
- Spoofing (詐称)
- アプリケーション内で正当な権限を持つユーザー、コンポーネント、サービスなどのシステムになりすまします。
- Tampering (改ざん)
- システム内のデータを書き換えます。
- Repudiation (否認)
- 記録が残されることなしに悪事を行います。
- Information disclosure (情報の流出)
- 本来な見ることができないデータを取得します。
- Denial of service (サービス拒否)
- 他のユーザーがアプリケーションやデータにアクセスできないようにします。
- Elevetion of privilege (権限の昇格)
- 高い権限を獲得し、通常は許可されない操作を実行します。