セキュリティ対策

セキュリティ対策 †

Magic3はよりセキュリティを高める考え方や設計思想に基づいて構築されています。
不正行為の防御や運用監視機能までに至るまで、強力なセキュリティな機能によって防御されています。

アクセスポイントの制限 †

Magic3へのアクセスポイント(実行可能なPHPスクリプトファイル)は必要最小限に押さえ、サイトへの入り口を限定することによって、
システムへの不正アクセスを防止しています。(ディレクトリ構成)

アクセスポイントの監視 †

アクセスポイントを通ったアクセスはすべて監視しています。
問題あるアクセスについては、処理をブロックし、運用ログに記録を残しています。(運用ログの参照)
POSTされたデータもログに残るので、不正な送信データをチェックすることができます。(アクセスログの参照)

受信データのチェック †

GETやPOSTで送られたデータはすべて、そのままシステムで扱うのではなく、必ず一旦データ内容をチェックし、
XSS(Cross Site Scripting)の手段となるJavaScript?等を含んだタグや不正なデータを除いてからシステムに渡るようになっています。
問題があるデータを検知したときは、運用ログに記録されます。(運用ログの参照)

SQLインジェクション防止 †

PDOを使ってSQLインジェクションを防いでいます。(BaseDbクラス)

SSL機能 †

SSLを使って通信を暗号化することができます。(SSL機能)

使用しない機能へのアクセス防止 †

使用しない機能(ウィジェット)は、ユーザからのアクセスから完全に防止されます。
また、問題が発生したウィジェットは、サイトの運用を停止することなく、瞬時に取り外すことができます。 (ウィジェットのデプロイ)

データの変更履歴 †

基本的に、DBに格納したすべてのデータの変更は履歴管理されています。
ユーザの間違った操作によるデータ喪失の場合でも再生可能です。

ウィジェットの緊急停止 †

ウィジェットに問題が見つかった場合など、サイト全体の運用は停止しないでそのウィジェットだけを
瞬時に停止することができます。(ウィジェットの管理)