2010年6月のアーカイブ

CGIを自分のサイトに実装すると、作業の幅も広がり、自動化も夢ではありませんから、仕事量が格段に増えることになります。訪問者参加型のサイトを作ろうとするなら、何らかのプログラムを仕込んでおかねばならないでしょう。


今回はCGIを外注に出すときの注意点を解説します。

人気ブログランキング←応援よろしく～


では、CGIの作成を外注に頼むときのチェックポイント何でしょうか？　ズバリ言うなら、セキュリティに強いか？　ということです。


「作れることは作れるが、セキュリティには自信がない」という方が、意外といるので自分からセキュリティに自信があるか確認しておきましょう。


たとえば、訪問者に入力させるCGIを作ってもらうなら、入力チェックは必須となります。数字しか入力されないはずなのに、アルファベットが入力されると動作がおかしくなるようでは、CGIの体を成していません。


Javascriptを使ってユーザー側でチェックすれば、サーバーに負荷が掛からないという考え方をする方が、いまだにいますが、ユーザー側でチェックしようとするものは改竄（かいざん）できます。


ブラウザでIEを使っているなら、「表示」→「ソース」でそのページのソースコードが出てきますから、Javascriptの記述を削除することで、チェックを無効にできるわけです。すると、どうなるでしょうか？


たとえば、１日５０個のケーキを販売するお店があったとします。購入できる数は、ひとりで１度に５個までとします。このチェックをユーザー側でしていると、改竄によって無効にできるので、「１００万個」などという入力が可能になってしまいます。


一瞬にして売り切れるわけです。もちろん、１００万個なんて買う気ありませんから、売上はゼロです。他の訪問者がやってきても、すでにケーキはありません。これだけなら問題はまだマシな方です。


CGIは、50-100万の計算をどう処理しているのでしょうか？　マイナスの計算に耐えられるのでしょうか？　いたずら入力として数字が入力されるとは限りません。文字が入力されてくるかもしれません。50-「あ」という計算にどう対応するのでしょうか？


ここでエラーがでたり、データベースに書き込もうとして、予想外のデータがやってくると、サーバーダウンというケースさえあります。


こうした事態を防ぐためにも、CGIを外注に出す場合は、セキュリティに強い方を選ぶようにしてください。

人気ブログランキング←応援よろしく～

無料配布されているCGIを使ったことのある方なら、お分かりかと思いますが、一度手にしたCGIは、自分の所有するサイトで使いまわせます。一粒で何回も美味しいわけですね。


なかには、CGI配布サイトからよく似た機能をもつCGIが配布されることもあるので、「せっかく有料で作ってもらったのに……」と、複雑な気分になるものですが、他のサイトと差別化したいなら、CGIの利用は大いに考慮すべきだと思います。
出費も一度きりなので、結果的に安上がりではないでしょうか？


「念願のCGIが完成したと思ったら、よく似たCGIが無料で配布されはじめた」という事態を避けるために、CGI配布サイトを巡って、代用できるものがないか先に探すことにしましょう。


CGIの更新を続けているところがあれば、機能の追加を要望として出してみましょう。対応してくれたら、丸々、代金が浮くことになります。


CGIの作成を外注に依頼する場合は、具体的な説明ができるかが鍵となります。
漠然とした説明では、まず伝わりません。表示上はどう見えるか？　データを入力するなら、書式や桁数などの規則を決めておく必要があります。


そして、なんといっても、セキュリティに強い方を外注に選ぶべきです。

・クロス・サイト・スクリプティング
・クロス・サイト・リクエスト・フォージェリー

このふたつに強い外注先を選ばないと、改竄（かいざん）されたりするので、依頼するときは、かならず質問に含めるようにしてください。