ColdFusion のセキュリティ機能

ColdFusion には、ColdFusion アプリケーションの構築やデプロイに役立つ、拡張可能で詳細なセキュリティ機能が用意されています。
ColdFusion では、次のタイプのセキュリティリソースが提供されています。

• 開発 ColdFusion Administrator はパスワードで保護されています。また、Dreamweaver からデータソースにアクセスするためのパスワードを指定できます。 Administrator のセキュリティパスワードの設定の詳細については、ColdFusion Administrator のオンラインヘルプを参照してください。
• CFML 機能 CFML 言語には、アプリケーションのセキュリティ強化に役立つ次のような機能があります。
  • cfqueryparam タグ : 悪意のある SQL 式がユーザーによって入力されるのを防ぐのに役立ちます。このタグを使用したデータベースセキュリティについて詳しくは、cfqueryparam を使用したセキュリティの強化を参照してください。
  • Scriptprotect 設定：この設定を使用して、クロスサイトスクリプティング攻撃から保護することができます。ただし、Scriptprotect を使用しても、完全な保護が保証されるわけではありません。 この値は、ColdFusion Administrator の「グローバルなスクリプト保護」設定、Application.cfc の This.scriptprotect 変数、または対応する cfapplication タグの scriptprotect 属性で設定します。この機能について詳しくは、CFML リファレンスの cfapplication を参照してください。"Application.cfc" について詳しくは、Application.cfc でのアプリケーションとこのイベントハンドラーの定義を参照してください。
  • 暗号化関数とハッシュ関数 : Encrypt 関数、Decrypt 関数、および Hash 関数により、データの暗号化と復号およびハッシュ "フィンガープリント" の生成に使用するための安全なアルゴリズムを選択できます。安全なアルゴリズムは、基盤となる Java セキュリティメカニズムでサポートされているいくつかのアルゴリズムの中から選択できます。 暗号化の場合は、AES、Blowfish、DES、および Triple DES があります。 詳しくは、CFML リファレンスの Encrypt、Decrypt、および Hash の各関数を参照してください。
  • データ検証ツール : ColdFusion には、悪意のあるフォームデータがユーザーから送信されないようにする機能など、フォーム入力やその他のデータ値を検証するための多彩なツールが用意されています。データ検証について詳しくは、データの検証を参照してください。セキュリティと検証に関する具体的な情報について詳しくは、ColdFusion 検証についてのセキュリティに関する考慮事項を参照してください。

• リソース／サンドボックス ColdFusion Administrator では、選択したタグや機能、データソース、ファイル、ホストアドレスなどの、ColdFusion リソースへのアクセスを制限できます。Standard Edition では、すべての ColdFusion アプリケーションに適用されるリソース制限の単一セットを設定します。Enterprise Edition では、ColdFusion ページの場所に基づいて、異なるリソース制限セットを持つ複数のサンドボックスを設定できます。アプリケーションを安全な領域に制限することで、このアプリケーションのリソースへのアクセスを柔軟に制限できます。

• ユーザー：ColdFusion アプリケーションでは、アプリケーションページを使用するユーザーにログインを要求できます。ユーザーを役割（場合によってはグループと呼ばれる）に割り当てることができます。ColdFusion ページでは、ログインしたユーザーの役割または ID を判断し、この情報に基づいて実行する操作を選択的に決定できます。ユーザーセキュリティは、認証および承認のセキュリティとも呼ばれます。