2011年12月19日

【正誤情報】『体系的に学ぶ 安全なWebアプリケーションの作り方』

正誤情報 『体系的に学ぶ 安全なWebアプリケーションの作り方』

このたびは弊社刊『体系的に学ぶ 安全なWebアプリケーションの作り方』をお買い上げいただきまして誠にありがとうございました。
本文中に以下の誤りがありましたことをお詫びするとともに、訂正させていただきます。


■参考:実習環境のPOP3サーバーに接続できない場合
もし、P.19のメールアカウントの設定を行ってもPOP3サーバーに接続できない場合、仮想マシンから以下のコマンドでDovecotの起動を確認してください。

# /etc/init.d/dovecot start

実行例
dovecot-start.png上図のように[OK]と表示されればDovecotが起動したことになります。再度POP3サーバーの接続を確認してください。

■第7刷発行後に見つかったもの

・P63 コラム「X-FRAME-OPTIONS」中のコード

<誤> header('X-FRAME-OPTIONS', 'SAMEORIGIN');
    ↓
<正> header('X-FRAME-OPTIONS: SAMEORIGIN');


■第4刷発行後に見つかったもの

・P156 1番目の囲みの中 1行目

<誤> if (preg_match('#\Ahttp://example.jp/45/45-002ch.php#',
    ↓
<正> if (preg_match('#\Ahttp://example\.jp/45/45-002\.php#',


・P156 2番目の囲みの中 2行目

<誤>if (preg_match('#^http://example.jp#', @$_SERVER['HTTP_REFERER']
    ↓
<正>if (preg_match('#^http://example\.jp#', @$_SERVER['HTTP_REFERER'])

 

■第3刷発行後に見つかったもの

・P63 コラム「X-FRAME-OPTIONS」中の1つ目の囲みの下

<誤>
----------
あるいは、meta要素を使って、HTML上にも記述できます。

<meta http-equiv="X-FRAME-OPTIONS" content="SAMEORIGIN">
----------
    ↓
<正> 上記を削除する


・P64 本文 下から6行目

<誤>
----------
この際、サイトBに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し、その変化がサイトAに影響を与える場合があります。この性質を積極的に利用したのがJSONP(JSON with padding)という手法です。JSONPは、Ajaxアプリケーションから同一生成元でないサーバー上のデータにアクセスする手法として利用されます。
----------
    ↓
<正>
----------
この際、サイトBに置かれたJavaScriptを取得するリクエストでは、サイトBに対するクッキーが送信されます。そのため、利用者のサイトBでのログイン状態によって、サイトBに置かれたJavaScriptのソースコードが変化し、その変化がサイトAに影響を与える場合があります。
この状況は、JSONP(JSON with padding)という手法で起こることがあります。JSONPは、Ajaxアプリケーションから同一生成元でないサーバー上のデータにアクセスする手法として利用されますが、認証状態によりJavaScriptのソース(JSONPのデータ)が変化すると、意図しない形で情報が漏洩する可能性があり危険です。JSONPでは公開情報のみを提供するようにするべきです。
----------

 

■第1刷発行後に見つかったもの

・P134 表4-11 PostgreSQLのバージョンの誤り

<誤> 9.2
    ↓
<正> 9.0.2


・P165 下から3行目の見出しを修正

<誤>RefererによりセッションIDが漏洩する条件
    ↓
<正>セッションIDがURL埋め込みになる条件

※本文の内容と合うように見出しを修正しました。


■更新履歴

2013.7.8   第7刷発行後に見つかったものを掲載しました
2011.12.19 実習環境のPOP3サーバーに接続できない場合の参考情報を掲載しました
2011.9.13 第3刷発行後、第4刷発行後に見つかったものを掲載しました
2011.3.23 初出









ISBNで検索
4-7973--X 















企業情報 個人情報について