今年も残りわずかとなり、今年の○○トップ10というタイトルを目にする機会も増えました。徳丸のブログでも、トップ10を発表したいと思います。今年書いたブログ限定ではなく、今年もっとも読まれたブログエントリのトップ10です。

1. Apache killerは危険〜Apache killerを評価する上での注意〜
2. PHP5.3.7のcrypt関数のバグはこうして生まれた
3. もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら
4. SQLのエスケープ再考
5. EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点
6. PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
7. 都道府県型JPドメインがCookieに及ぼす影響の調査
8. モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等
9. evernoteのテキストをevernote社の管理者にも見えないように暗号化する
10. 私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか

ページビュー数では、1.の「Apache killerは危険〜Apache killerを評価する上での注意〜」がぶっちぎりでした。Apache Killerへの関心の高さが伺われますね。
2位の、PHP5.3.7のcrypt関数バグも大きな話題となりました。この問題への態度を観察していると、PHPerよりも他のクラスタの方が騒いでいる印象を受けました。なんというか、「真のPHPerはこの程度の問題では動じないのだ」という無言のメッセージを感じた気がしました。現実問題として、crypt関数あんまり使われてないような気がしますしね。
4位には、「SQLのエスケープ再考」がランクインしています。3年半前のエントリですが、継続して読んでいただいています。私にとっても思い入れの深いエントリです。
8位の「セキュ女子力」も多くの方に読んでいただきました。本格的なコピペを書いたのは実は2回目でして、1回目は「Webアプリ脆弱性オタがふつーのSEの彼女に脆弱性世界を軽く紹介(ry」なんですが、元ネタが増田で出してきたのまで真似して増田で発表したという行きがかり上今まで匿名にしていました。あれから三年も経つのですね。もうばらしてもいいでしょう。

ちなみに、11位〜20位は以下の通りです。

11. PHPのイタい入門書を読んでAjaxのXSSについて検討した(1)
12. ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
13. 「SQLインジェクション対策」でGoogle検索して上位15記事を検証した
14. ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
15. CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
16. SQLの暗黙の型変換はワナがいっぱい
17. KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された
18. PHP5.4のhtmlspecialcharsに非互換問題
19. 「安全なWebアプリケーションの作り方」電子書籍版9月28日（水）販売開始します
20. 僕が「ホワイトリスト」を採用しなかった訳

今年は、なんと言っても「「徳丸本」を完成させることができ、多くの方に読んでいただいたことに尽きると思います。多くの方に支えられて初めてできたことです。本当にありがとうございました。来年もよろしくお願いいたします。

[PR]
「安全なWebアプリケーションの作り方」DRMフリーのPDFによる電子版もあります。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2011/03/01
• メディア: 単行本
• 購入: 119人 クリック: 4,283回
• この商品を含むブログ (146件) を見る