HOME > セキュリティ > 安全なスパイラルアプリケーションの作り方(アプリケーション別)

安全なスパイラルアプリケーションの作り方(アプリケーション別)


当ページでは、スパイラルで構築するアプリケーションの種類ごとに、注意するポイントをご案内いたします。
項目に補足情報がある場合、[補足:]と表記し、「安全なスパイラルアプリケーションの作り方(機能グループ別)」にリンクしていますので、参考にしてください。



全般


  • 管理者や会員のパスワードにはメッセージダイジェスト(SHA256)を使いましょう。[補足:DB1-1]



会員情報をDB管理しているアプリケーション


  • 管理者宛てに通知メールを配信する場合、メール文面に個人情報を含めないようにします。含める場合、S/MIMEで暗号化しましょう。
  • 会員情報変更フォーム、退会フォームでは、認証キーを設定しましょう。[補足:WEB1-2]
  • 認証キーは複雑で推測しにくい値にしましょう。[補足:DB2-1]
  • メールからのクリックログインで情報変更や退会ができるようにしている場合、クリックログインURLの有効期間を短く設定しましょう。
  • 退会後の会員が会員限定ページにログインできないようログイン拒否設定を利用しましょう。
  • 退会フォームの設定では、サンキューページでマイエリアからログアウトするようにしましょう。[補足:WEB2-4]
  • パスワード再登録フォームの設定でも同様です。自動ログアウトして、新しいパスワードで改めてログインするようにしましょう。[補足:WEB2-4]
  • 会員自身が情報変更、退会またはパスワード再登録にて、フォームにユーザー名(またはメールアドレス)を入力すると、各ページのURLを知らせるメール配信を設定している場合、ユーザー名(またはメールアドレス)入力フォームでのエラーメッセージに気をつけてください。
    「入力されたユーザー名やメールアドレスは登録されていません」などは、アカウント乗っ取りなどを企んでいる攻撃者にヒントを与えています。
    入力された値がエラーか正常かが分からない文言にしましょう。
    例えば、「登録いただいているメールアドレスにURLを送りました。数時間待っても届かない場合、入力間違いの可能性があるため、恐れ入りますが再度ユーザー名(またはメールアドレス)を入力してください」などにします。



関連するページ

IDとパスワードで受信者を管理したい
メールアドレスだけで受信者を管理したい
認証キーとは何ですか?



関連するFAQ

配信停止を受け付けたい



フォトコンテストなど、ファイルをアップロードするアプリケーション


  • フォーム内にアップロードして欲しいファイルの拡張子を記載していても、誤操作や誤認でそれ以外のファイルをアップロードしてしまう場合があります。
    アップロードできるファイルの拡張子は、フィールドやフォームの設定で、必要最小限に制限しましょう。[補足:DB1-2]



関連するページ

ファイル型フィールド


関連するFAQ

ファイル型フィールドとは何ですか?



問合せ管理


  • 問合せ通知メールを配信する場合、メール文面に個人情報を含めないようにします。含める場合、S/MIMEで暗号化しましょう。
  • 問合せ一覧のアクセス権限は原則として「ユーザー」か「マイエリア」で利用しましょう。[補足:WEB3-1]
  • 問合せ一覧の閲覧や操作できるPC環境に応じて、公開範囲や権限は必要最小限にしましょう。[補足:WEB3-2]



関連するページ

通知先管理
一覧表・単票とは


関連するFAQ

S/MIMEを設定したい
S/MIMEが見られない