SBクリエイティブ

正誤情報

【正誤情報】『体系的に学ぶ 安全なWebアプリケーションの作り方』

2011.03.23
対象書籍
体系的に学ぶ 安全なWebアプリケーションの作り方

正誤情報 『体系的に学ぶ 安全なWebアプリケーションの作り方』

このたびは弊社刊『体系的に学ぶ 安全なWebアプリケーションの作り方』をお買い上げいただきまして誠にありがとうございました。
本文中に以下の誤りがありましたことをお詫びするとともに、訂正させていただきます。


■参考:実習環境のPOP3サーバーに接続できない場合
もし、P.19のメールアカウントの設定を行ってもPOP3サーバーに接続できない場合、仮想マシンから以下のコマンドでDovecotの起動を確認してください。

# /etc/init.d/dovecot start

実行例
dovecot-start.png上図のように[OK]と表示されればDovecotが起動したことになります。再度POP3サーバーの接続を確認してください。

■第13刷発行後に見つかったもの
・P225 図4-85 画面内の入力例
<誤> Bcc: bob@example.com

<正>Bcc: bob@example.jp

・P380 図6-5 「ル」の文字コード
<誤>83 8D

<正>83 8B

・P451 ページ上部の箇条書きの2つ目
<誤>ウイルスが混入している可能

<正>ウイルスが混入している可能

■第7刷発行後に見つかったもの

・P63 コラム「X-FRAME-OPTIONS」中のコード

<誤> header(‘X-FRAME-OPTIONS‘, ‘SAMEORIGIN’);
    ↓
<正> header(‘X-FRAME-OPTIONS: SAMEORIGIN’);


■第4刷発行後に見つかったもの

・P156 1番目の囲みの中 1行目

<誤> if (preg_match(‘#Ahttp://example.jp/45/45-002ch.php#’,
    ↓
<正> if (preg_match(‘#Ahttp://example.jp/45/45-002.php#’,

・P156 2番目の囲みの中 2行目

<誤>if (preg_match(‘#^http://example.jp#’, @$_SERVER[‘HTTP_REFERER’]
    ↓
<正>if (preg_match(‘#^http://example.jp#’, @$_SERVER[‘HTTP_REFERER’])

 

■第3刷発行後に見つかったもの

・P63 コラム「X-FRAME-OPTIONS」中の1つ目の囲みの下

<誤>
———-
あるいは、meta要素を使って、HTML上にも記述できます。

<meta http-equiv=”X-FRAME-OPTIONS” content=”SAMEORIGIN”>
———-
    ↓
<正> 上記を削除する

・P64 本文 下から6行目

<誤>
———-
この際、サイトBに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し、その変化がサイトAに影響を与える場合があります。この性質を積極的に利用したのがJSONP(JSON with padding)という手法です。JSONPは、Ajaxアプリケーションから同一生成元でないサーバー上のデータにアクセスする手法として利用されます。
———-
    ↓
<正>
———-
この際、サイトBに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し、その変化がサイトAに影響を与える場合があります。
この状況は、JSONP(JSON with padding)という手法で起こることがあります。JSONPは、Ajaxアプリケーションから同一生成元でないサーバー上のデータにアクセスする手法として利用されますが、認証状態によりJavaScriptのソース(JSONPのデータ)が変化すると、意図しない形で情報が漏洩する可能性があり危険です。JSONPでは公開情報のみを提供するようにするべきです。
———-

 

■第1刷発行後に見つかったもの

・P134 表4-11 PostgreSQLのバージョンの誤り

<誤> 9.2
    ↓
<正> 9.0.2

・P165 下から3行目の見出しを修正

<誤>RefererによりセッションIDが漏洩する条件
    ↓
<正>セッションIDがURL埋め込みになる条件

※本文の内容と合うように見出しを修正しました。

■更新履歴

2017.8.1 第13刷発行後に見つかったものを掲載しました
2017.3.31  第13刷発行後に見つかったものを掲載しました
2013.7.8   第7刷発行後に見つかったものを掲載しました
2011.12.19 実習環境のPOP3サーバーに接続できない場合の参考情報を掲載しました
2011.9.13 第3刷発行後、第4刷発行後に見つかったものを掲載しました
2011.3.23 初出

この記事をシェアする