ColdFusion セキュリティについて
ColdFusion で開発するような Web ベースのアプリケーションでは、セキュリティは特に重要です。ColdFusion の開発者および管理者は、アクセスを有効化したり制限したりできるように、開発環境や実行環境に影響を与える可能性のあるセキュリティリスクを十分理解する必要があります。
顧客がクレジットカード番号を入力する e コマースサイト、またはユーザーが機密データを共有するグローバルコラボレーションサイトがある場合は、Web アプリケーションの脅威となる可能性があるセキュリティリスクを把握しておく必要があります。 スヌーピングと傍受:Web の公開接続経由で送信されるデータは監視される可能性があります。
ユーザーの偽装:信頼されているユーザーに偽装して、信頼されているユーザーのみが表示またはダウンロードできる情報にアクセスされる可能性があります。
不正アクセス:不正なユーザーが、機密情報にアクセスする可能性があります。 インターネットでは、すべてのコンピューターが 1 つの大きなネットワークに接続されているので、このセキュリティリスクが最も複雑です。 特定のシステムまたはデータソースへのアクセスを完全に許可または禁止するのは比較的簡単ですが、アプリケーションの利用に必要な部分的アクセスを許可することには危険が伴います。 例えば、一般的な銀行業務の情報があるサイトを銀行が公開して自由にアクセスできるようにするのは簡単です。 ユーザーが自分の個人口座の情報に排他的にアクセスできる口座保守サイトを作成するのは、より難しくなります。
ColdFusion では、Web アプリケーションの開発とデプロイ用に、高度にセキュリティ保護された環境を提供しています。 この環境は、次の方法でセキュリティリスクを軽減するのに役立ちます。 暗号化:Secure Sockets Layer(SSL)プロトコルを使用すれば、クライアントとサーバーの間で情報を渡す際のスヌーピング、傍受、およびメッセージの改ざんを防止できます。 ほとんどの Web サーバーでサポートされている SSL では、インターネットプロトコル(HTTP など)が公開鍵暗号によって暗号化されます。 着信データを復号し、発信データを暗号化するための秘密鍵がサーバーにあります。
キーをインストールすると、暗号化と復号が Web サーバーで自動的に処理されます。
認証:認証では、有効なシステムユーザーであるかどうかが確認されます。 一意のログインまたはユーザー名、およびパスワードまたは個人識別番号(PIN)の入力を求めるプロンプトが表示されます。
アクセス制御:認証されたユーザーは、セキュリティ許可、所属グループまたは開発者が指定した他の基準に基づいて特定の機能またはコンポーネントにアクセスできます。
"開発用のセキュリティ" は、ColdFusion Administrator を使用するためのパスワードと、リモートからの CFML ページ開発を可能にする Remote Development Services (RDS) を使用するためのパスワードを設定することで実装します。"ランタイムセキュリティ" は、CFML ページと ColdFusion Administrator で実装します。ColdFusion のランタイムセキュリティには次のカテゴリがあります。
- ユーザーセキュリティ
- ログインしたユーザーをプログラムを使用して判別し、そのユーザーに割り当てられたロールに基づいて、制限されている機能を許可するかどうかを決定します。ユーザーセキュリティの詳細については、『ColdFusion アプリケーションの開発』の「アプリケーションの保護」にある「ColdFusion のセキュリティ機能」を参照してください。
- サンドボックスセキュリティ
- ColdFusion Administrator を使用して、指定したディレクトリと下位のディレクトリ内で ColdFusion ページが使用できるアクションとリソースを定義します。
注意: ColdFusion のエンタープライズ版をご使用の場合は、複数のセキュリティサンドボックスを設定できます。ColdFusion のスタンダード版をご使用の場合は、セキュリティサンドボックスを 1 つだけ設定できます。
Administrator の [セキュリティ] 領域では、次のタスクを実行できます。
|
|
|
|
|
