#navi_header|技術|

ViewStateの参考情報リンクメモ。

日本語：
- ASP.NETの状態管理：ビューステート／クッキー／セッション情報 － ＠IT
-- http://www.atmarkit.co.jp/fdotnet/bookpreview/learnaspnet_0701/learnaspnet_0701_01.html
- ＠IT：連載：プログラミングASP.NET　第15回　セッションとビューステート
-- http://www.atmarkit.co.jp/fdotnet/aspnet/aspnet15/aspnet15_03.html
- ASP.NET のビュー ステートの理解
-- http://msdn.microsoft.com/ja-jp/library/ms972976.aspx

英語：
- Understanding ASP.NET View State
-- http://msdn.microsoft.com/en-us/library/ms972976.aspx

個人的にはMSDN英語版の "Understanding ASP.NET View State" が一番有用で分り易かった。ASP.NETのページ処理のLifeCycleをまず解説しており、全体像を把握できるように配慮されている。

ViewStateを介したXSS攻撃：
- Dailydave: XSS in viewstate
-- http://seclists.org/dailydave/2010/q1/64
- Trustwave's SpiderLabs Security Advisory TWSL2010-001: Multiplatform View State Tampering Vulnerabilities
-- https://www.trustwave.com/spiderlabs/advisories/TWSL2010-001.txt
- Beware of Serialized GUI Objects Bearing Data
-- https://www.blackhat.com/presentations/bh-dc-10/Byrne_David/BlackHat-DC-2010-Byrne-SGUI-slides.pdf

セキュリティ上の対処としては以下の2点に尽きる。
+ MACを有効にする。
+ 暗号化を有効にする。

FiddlerとそのPluginであるWatcherを使うと、MACが有効か自動判定してくれるようだ。実際に手許で動かしたわけでないので、未確認情報。
- 【ハウツー】FiddlerとWatcherでWebサイトのセキュリティをチェックする (1) FiddlerとWatcherのインストール | エンタープライズ | マイコミジャーナル
-- http://journal.mycom.co.jp/articles/2010/04/21/fiddler/index.html

#navi_footer|技術|