セキュリティに関するガイドを書いています。 セキュリティといえばOWASPでときどき参照させていただいていましたが、その過程で初めてのプロジェクトに出会ってしまいました。 OWASP Cheet Sheet Seriesです。
こちら、様々なセキュリティ分野のチートシートをまとめたコンテンツになっています。
例えば、クリックジャッキングに関するチートシートはClickjacking Defense Cheat Sheetにまとまっています。 その対策としてのCSP、X-Frame-Options、SameSite Cookies等のよく知られた対策はもちろん、よくあるミスにも言及してくれる珠玉の内容です。
また、こうした技術特化の話だけでなく「ユーザーがパスワードを忘れた時のシステム対応」についてまとめたForgot Password Cheat Sheetもあります。
ユーザーが存在する・しないにかかわらず同じメッセージを表示せよ、最速の実装としてURL Tokensを実装せよといった内容は、 「どうやって実装しようか」と悩む我々の良い指針になってくれそうです。
このようなセキュリティトピックごとに深掘りされた内容、特に方式設計するときに便利ですね。 「この機能をどうやって実現するか」「この分野で取るべきセキュリティ対策は」といった頭を悩ませるときの強い味方になってくれそうです。