Animateのhtml5canvas作成中ウィザードで記述したjavascriptや完成後パブリッシュして作成されたjavascript等のセキュリティ確認方法を教えて下さい

返信ありがとうございます。

サーバーを契約、設定するときなどに参考にさせていただきたいと思います。初めて聞く言葉が多く、さらに質問させていただきました。すみませんがよろしくお願いいたします。

＞入力サニタイズ

ユーザーにテキストを入力してもらうことは行わない予定です。

「ボタンをクリックする」→クリックしたら画面が変わる。

「ボタンをクリックする」→クリックしたら指定webページに遷移する。

の２種類の動きだけを使う予定ですが、その場合も「入力サニタイズ」は必要ですか。

＞Canvas のクロスオリジン保護

検討中のレンタルサーバは、デフォルトでは「CORS設定無効」になっているようです。契約する際には確認しますが、デフォルトのまま使えばよいでしょうか。

＞データURL/Blob 出力の適正

検討中のレンタルサーバで、今のところ説明が見つかりませんでした。

レンタルサーバー契約時に確認すればよろしいでしょうか。

＞外部送信の監視

検討中のレンタルサーバでは、Web改ざん検知サービスやシンプル監視サービスなどを利用することによって間接的に外部送信を監視することができるようです。

レンタルサーバのサーバーコントロールパネルからIPアドレスを確認することで、外部サーバーとの通信状況を把握することも可能のようです。

いずれかの方法を使えばよいでしょうか。

＞セキュリティヘッダーの確認

サーバーのコントロールパネルにログインして、対象ドメインのwebサイト設定画面で確認できるようですが、そこで、以下のセキュリティヘッダーが適切に設定されているか確認すればよいでしょうか。

• Content-Security-Policy (CSP):許可されたリソースのソースを制限し、クロスサイトスクリプティング (XSS) などの攻撃を防ぎます。

• X-Frame-Options:サイトが他のサイトのiframeに表示されるのを防ぎ、クリックジャッキング攻撃を防ぎます。

• X-Content-Type-Options:ブラウザによるコンテンツタイプの推測を無効にし、MIMEスニッフィング攻撃を防ぎます。

• Strict-Transport-Security (HSTS):HTTP接続をHTTPS接続にリダイレクトし、中間者攻撃を防ぎます。

（Google検索したものをコピー＆ペーストしましたが、それぞれの「適切に設定」とは何かがわかっていません。このあたりは、レンタルサーバーの契約をすすめるときに相談していけばよいでしょうか。）

＞アップロードされたファイルの偽装・MIME確認

方法がわかりません。レンタルサーバー契約時に確認すればよいでしょうか。

＞Canvas Fingerprintの有無

「 JavaScriptとHTMLでグラフィックを描画するために設計されたCanvas APIは、ブラウザフィンガープリンティングによるオンライントラッキングにも利用できます。この手法は、Webブラウザやプラットフォームによってキャンバス画像のレンダリング方法が異なることを利用し、ユーザーのブラウザの個人用デジタルフィンガープリントを作成します。」という記事をみつけましたが、フィンガープリントに使う意図がなければ問題ないということでしょうか。

>とりとめなく書き出しましたが、基本的にAnimateに利用されているAPIは脆弱性に対する検証を通っていますが、未知のものが存在する可能性もありますので利用されているAIPに関する情報については常に目を光らせておくべきでしょう。

Animateは常に最新版を使うようにしています。

「利用されているAPIに関する情報」とはどのような情報に目を光らせておけばよいですか。

>また、サーバーの設定やJavaScriptの構成等を慎重に見極める必要もあります。一般に出回っている脆弱性スキャナー等を利用するのも良いでしょう。

サーバーの設定は、箇条書きで書いていただいている点を気をつければよいでしょうか。

Javascriptの構成の見極めでは、何を見極めたらよいでしょうか。

ユーザーにテキストを入力させるようなjavascriptを書かない。

「ボタンをクリックする」→クリックしたら画面が変わる。

「ボタンをクリックする」→クリックしたら指定webページに遷移する。

の２種類の動きだけを使うことを検討中で、animateのウィザードかコードスニペットで作成した上でflaファイルをパブリッシュして、最終的にはanimateがhtml、javascript、imageフォルダを作成。できたjavascriptなどのファイルをそのまま使う予定です。

自分で記述したscriptだけでなく、Animateが作成するすべてのscriptのチェックが必要でしたら「逆引き」のようなもので何が書いてあるかチェックしたらよいでしょうか。（animateのキーフレームで指定している画像を動かしたり大きさを変えたりという部分がscriptになっていると推測しますがそこもチェックが必要でしょうか）

>サーバーの設定以外については、基本的にユーザーインタラクションに対する反応に穴が無いかを調べていくことになりま す。

ユーザーにテキストを入力させるようなjavascriptを書かない。

「ボタンをクリックする」→クリックしたら画面が変わる。

「ボタンをクリックする」→クリックしたら指定webページに遷移する。の２種類の動きだけを使うことを検討中ですが、この場合の「穴」とはどのようなことを指しますか。

>経験が浅いと難しい部分もありますが、ツールなどを利用しつつ勉強されるとよいでしょう。

わからないことばかりです。今後ともよろしくお願いいたします。

先日、投稿した際、「＞セキュリティヘッダーの確認」

の項で

Content-Security-Policy

X-Frame-Options:

X-Content-Type-Options:

Strict-Transport-Security

にリンクが入ってしまって、記述がややこしくなってしまってすみません。リンクは無視して下さい。

Google検索して検索結果の一部を文字列だけコピー＆ペーストしたつもりだったのですが、投稿後に確認すると上記文字列にさらにそれぞれの検索結果のリンクがはられていたようで、リンクに気づかずに投稿してしまいました。投稿を削除したり修正したりする方法がわからないので、「リンクを無視して下さい。」とのお願いを投稿いたします。よろしくお願いいたします。

返信ありがとうございました。

まずは、サーバーの設定について学んで対策をたてる。

Webアプリについては、脆弱性スキャナーを利用するとより安心。

常日頃から、サーバーやスクリプトエンジン、利用するAPIについて情報収集する。

レンタルサーバーのサポートから送られてくるセキュリティ情報に注目する。

という方向で、時間はかかると思いますが万全の準備をしたうえでレンタルサーバーの検討を進めていきたいと思います。