Webセキュリティ, プライバシー & コマース 第2版 （上）

はじめに    

I部　Webテクノロジ

1章　Webセキュリティの概要
    1.1　Webセキュリティ対策 
        1.1.1　Webサーバのセキュリティ対策 
        1.1.2　送信中の情報の保護 
        1.1.3　ユーザ側でのセキュリティ対策 
    1.2　リスク分析とベストプラクティス 
2章　Webのアーキテクチャ
    2.1　歴史と用語 
        2.1.1　インターネットの構築 
        2.1.2　Webの登場 
    2.2　パケットの流れ 
        2.2.1　パソコンを起動する 
        2.2.2　パソコンからインターネットへ接続する 
        2.2.3　DNS 
        2.2.4　Webに接続する 
    2.3　インターネットは誰のもの？ 
        2.3.1　プロバイダ 
        2.3.2　NAPとMAE 
        2.3.3　ルートドメインのネームサーバとトップレベルのネームサーバ 
        2.3.4　ドメインレジストラ 
        2.3.5　IPアドレスの登録機関 
        2.3.6　ICANN 
3章　暗号技術の基礎3.1　暗号技術とは 
        3.1.1　暗号技術のルーツ 
        3.1.2　暗号技術の2つの側面 
        3.1.3　暗号の実例 
        3.1.4　暗号方式と暗号関数 
    3.2　対称鍵暗号方式 
        3.2.1　対称鍵方式の暗号強度 
        3.2.2　対称鍵暗号方式の鍵の長さ 
        3.2.3　一般的な対称鍵暗号方式 
        3.2.4　対称鍵暗号方式への攻撃 
    3.3　非対称鍵暗号方式 
        3.3.1　非対称鍵暗号方式の用途 
        3.3.2　非対称鍵暗号方式への攻撃 
    3.4　メッセージダイジェスト関数 
        3.4.1　メッセージダイジェスト関数の実例 
        3.4.2　メッセージダイジェスト関数の用途 
        3.4.3　HMAC 
        3.4.4　メッセージダイジェスト関数への攻撃 
4章　暗号技術とWeb
    4.1　暗号技術とWebセキュリティ 
        4.1.1　暗号技術のキーワード 
    4.2　実用化されている暗号システムと暗号プロトコル 
        4.2.1　オフライン暗号システム 
        4.2.2　オンラインの暗号プロトコルと暗号システム 
    4.3　暗号技術は万能薬ではない 
    4.4　暗号技術の法規制 
        4.4.1　暗号技術と米国特許 
        4.4.2　暗号技術とトレードシークレット法 
        4.4.3　暗号技術に対する国際法とアメリカ国内の法規制 
5章　SSLとTLS
    5.1　SSLとは 
        5.1.1　SSLのバージョン 
        5.1.2　SSL/TLSの特長 
        5.1.3　SSLの本当の目的 
        5.1.4　デジタル証明書 
        5.1.5　SSLの実装 
        5.1.6　SSLの性能 
    5.2　ユーザの観点から見たSSL 
        5.2.1　ブラウザのセキュリティ設定 
        5.2.2　ブラウザの警告と表示 
6章　デジタル認証技術（Ｉ）：パスワード、バイオメトリックス、デジタル署名
    6.1　物理的な認証技術 
        6.1.1　本人認証の必要性 
        6.1.2　身分証明書に基づいた本人認証 
        6.1.3　コンピュータを利用した認証技術 
    6.2　公開鍵による認証 
        6.2.1　横取り攻撃 
        6.2.2　横取り攻撃を撃退する公開鍵方式 
        6.2.3　秘密鍵の作成と保存 
    6.3　公開鍵暗号方式の事例 
        6.3.1　PGPによる本人認証 
        6.3.2　SSHによる認証 
7章　デジタル認証技術（II）：デジタル証明書、認証局、PKI
    7.1　PGPによるデジタル証明書 
        7.1.1　自分の鍵の証明 
        7.1.2　鍵の証明法: PGPの信頼の輪 
    7.2　認証局: 第三者登録機関 
        7.2.1　証明書運用規約 
        7.2.2　X.509 v3証明書 
        7.2.3　証明書の種類 
        7.2.4　証明書の取り消し 
    7.3　PKI 
        7.3.1　認証局の経緯 
        7.3.2　Internet Explorerにプリインストールされた証明書 
        7.3.3　Netscape Navigatorにプリインストールされた証明書 
        7.3.4　同じ認証局による複数の証明書 
        7.3.5　現在の認証局の問題点 
    7.4　オープンポリシーの諸問題 
        7.4.1　秘密鍵は本人とは限らない 
        7.4.2　識別名フィールドに記載された人物は本人か 
        7.4.3　同姓同名の人をどのように識別するか 
        7.4.4　現在のデジタル証明書は情報不足 
        7.4.5　X.509 v3は選択的開示を認めない 
        7.4.6　デジタル証明書はデータ収集を容易にする 
        7.4.7　認証局はいくつ必要か 
        7.4.8　鍵を貸すにはどうすればよいか 
        7.4.9　これらの問題が重要な理由 
        7.4.10　デジタル署名と電子署名に関するBrad Biddle氏の提言 

II部　プライバシーとセキュリティ

8章　プライバシーをめぐる戦い
    8.1　プライバシーとは 
        8.1.1　プライバシーの侵害 
        8.1.2　個人情報とは 
    8.2　ユーザが入力する情報 
    8.3　ログファイル 
        8.3.1　ログファイルの保存期間 
        8.3.2　Webログ 
        8.3.3　RADIUSログ 
        8.3.4　メールログ 
        8.3.5　DNSログ 
    8.4　クッキーとは 
        8.4.1　クッキープロトコル 
        8.4.2　クッキーの用途 
        8.4.3　クッキージャー 
        8.4.4　クッキーのセキュリティ対策 
        8.4.5　クッキーを使用禁止にする 
    8.5　Webバグと呼ばれる盗聴装置 
        8.5.1　Webページに仕掛けられたWebバグの例 
        8.5.2　電子メールやWordファイルに仕掛けられたWebバグ 
        8.5.3　Webバグの用途 
    8.6　まとめ 
9章　プライバシーを保護するテクニック
    9.1　よいプロバイダの選び方 
    9.2　よいパスワードの選び方 
        9.2.1　パスワードの必要性 
        9.2.2　よくないパスワードの例 
        9.2.3　パスワードなしのアカウント 
        9.2.4　よいパスワード 
        9.2.5　パスワードをメモする 
        9.2.6　複数のユーザ名とパスワードを管理する方法 
        9.2.7　パスワードの共有 
        9.2.8　パスワードの盗難に警戒する 
    9.3　後始末を忘れずに 
        9.3.1　ブラウザキャッシュ 
        9.3.2　クッキー 
        9.3.3　ブラウザの履歴情報 
        9.3.4　パスワード、フォーム入力、オートコンプリートの設定 
    9.4　迷惑メールの対策 
        9.4.1　電子メールアドレスの保護 
        9.4.2　擬装アドレスの使用 
        9.4.3　スパム対策サービスやソフトウェアの利用 
    9.5　身元詐称 
        9.5.1　身元詐称対策 
10章　プライバシーを保護する技術
    10.1　広告のブロックとクッキーの削除 
        10.1.1　ローカルHTTPプロキシ 
        10.1.2　広告のブロック 
    10.2　匿名ブラウジング 
        10.2.1　IPアドレスを守る簡単な方法 
        10.2.2　匿名ブラウジングサービス 
    10.3　電子メールの安全対策 
        10.3.1　Webベースの電子メールサービスの利用 
        10.3.2　Hushmail 
        10.3.3　Omnivaの自己破壊電子メール 
11章　バックアップと盗難防止
    11.1　バックアップによるデータ保護 
        11.1.1　バックアップは必須だ！ 
        11.1.2　バックアップの理由 
        11.1.3　何をバックアップするか 
        11.1.4　バックアップの種類 
        11.1.5　バックアップ媒体の保護 
        11.1.6　バックアップを保持する期間 
        11.1.7　バックアップのセキュリティ対策 
        11.1.8　法的な諸問題 
        11.1.9　バックアップ戦略の策定 
    11.2　盗難防止 
        11.2.1　ガードを固める 
        11.2.2　カギをかける 
        11.2.3　盗難防止シールを付ける 
        11.2.4　ラップトップ回収ソフトウェアとサービス 
        11.2.5　危険を自覚する 
12章　モバイルコード（I）:プラグイン、ActiveX、Visual Basic
    12.1　柔軟性の功罪 
        12.1.1　カード泥棒 
        12.1.2　David.exe 
        12.1.3　Quicken 
        12.1.4　I_LOVE_YOUウイルス 
    12.2　ヘルパーとプラグイン 
        12.2.1　ヘルパーの歴史 
        12.2.2　プラグインの入手 
        12.2.3　プラグインのセキュリティを検証する 
    12.3　Microsoft社のActiveX 
        12.3.1　<OBJECT>タグ 
        12.3.2　Authenticode 
        12.3.3　Authenticodeは機能するのか 
        12.3.4　Internet Exploder 
        12.3.5　ActiveXコントロールの危険性 
    12.4　ダウンロード可能なコードの危険性 
        12.4.1　お金を盗むプログラム 
        12.4.2　プライバシーの侵害と機密情報の窃取 
        12.4.3　署名付きのコードは安全なコードという意味ではない 
        12.4.4　署名付きコードのハイジャック 
        12.4.5　攻撃の再現が困難 
        12.4.6　攻撃に対する事後対策 
    12.5　まとめ 
13章　モバイルコード（II）: Java、JavaScript、Flash、Shockwave
    13.1　Java 
        13.1.1　簡単なJavaプログラム 
        13.1.2　Javaの歴史 
        13.1.3　Java言語 
        13.1.4　Javaの安全性 
        13.1.5　Javaのセキュリティ 
        13.1.6　Javaのセキュリティポリシー 
        13.1.7　Javaのセキュリティ問題 
    13.2　JavaScript 
        13.2.1　簡単なJavaScript 
        13.2.2　JavaScriptのセキュリティ 
        13.2.3　JavaScriptのセキュリティ問題 
        13.2.4　JavaScriptのDoS攻撃 
        13.2.5　JavaScriptの偽装攻撃 
    13.3　FlashとShockwave 
    13.4　まとめ 

索引