日付:2011-08-28 次回定例:2011-09-04
<問題点>
SQLインジェクションに関する問い合わせを行ったが、
その結果が返ってこない。
→SQLインジェクション対策が行われているか、また行う必要があるかわからない。
<進捗:質疑>
たっく担当の稟議ページ構成案・稟議ページ作成にどれくらいかかりそう?
→トータルだと週末くらいにはできるんじゃないかな
たたき台の作成と日々の仕事の終わり時間による
→目標は週末まで
shell担当のDB構成更新の進捗具合はどの程度
→t_admin_progress更新中(CREATE・insert)
だいたいどのくらいで終わる?
→未定:水曜に進捗をメールします(KI宛)
<次回議題提案>
今後ページを公開した場合、少し知識のある第三者がアドレスバーにadmin.phpと打つ可能性
を考慮したセキュリティを取り入れたいので、その案を考える
・adminって文字列をmd5で暗号化は?
→kEfTh83rhH2Dみたいな感じがいい
→結局、それって使いにくくない?
→SQLインジェクションに引っかかる可能性もあり
・IP・MACアドレスを登録し、その情報もユーザ認証に含める
→でもそれだと自分のPCでしかできない
→普通はISPがDHCPで動的にふってたりするし、基本的には不可能だよ
☆最終目標
adminページにログインさせないこと。
※Loginページは一般ユーザには見せない・発見されないこと
→利便性を取るのかセキュリティを取るのか 線引きが現段階で難しい
→各自、Webページセキュリティ について調べる で内容は個々に任せる ってことで