どうも試験を受けないと駄目らしく、面倒だなぁと思いつつも落ちたらシャレにならないようなので、IPAのガイドを読んでいました。でも、飽きたのでCouchDB用に翻訳しました。Def本ではセキュリティのプラクティスは対象外ってことだったので、完全に経験に基づいて書いています。

http://dl.dropbox.com/u/219436/CouchDB/PythonHackathon3/handson/_build/html/80_app_security/index.html

CSRF対策が結構面倒というか、ドキュメントの作成には事実上対策のしようがないですね。運用で回避しようと思えばできるのですが、アプリケーションの仕組みで対策した方がいいかなぁ、と思ったのです。この辺はトランザクションレートによるかもしれません。

それはともかく、CouchDBの仕組みを分かってないと、実装レベルに落とせないと思います。。あと、_rev を確認情報として使うのはやめた方がいいとは思いますが。

CSRFについても、Headerインジェクションにしても、CouchDBレベルで持っていてほしいなぁ。。。