IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため、2006年から「安全なウェブサイトの作り方」を発行しており、今回第7版が公開された。
「安全なウェブサイトの作り方」では、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめている。
今回の改訂では、DNSを狙った攻撃やパスワードリスト攻撃、クリックジャッキング攻撃など、前回改訂の2012年以降問題となった攻撃、および新たな手口への有効な対策を追加した。また、今回は保存している利用者等のパスワードの漏えいに備える対策を提示している。
パスワードリスト攻撃では、たとえば、A社のウェブサービスから漏えいしたパスワードがB社やC社などの他のサービスで悪用されているという指摘があり、パスワードをそのままで保存していると、漏えいした場合に即攻撃に悪用される可能性がある。
また、ハッシュ値にして保存していたとしても、予めパスワードに使用される可能性のある文字列のハッシュ値をリスト化し、高速にパスワードを復元する手口の存在が確認されていることから万全とはいえない状態だという。
そのため、第7版ではパスワードを「ソルト」と呼ばれる文字列を付加して計算したハッシュ値(ソルト付きハッシュ値)にし、見かけ上のパスワードを長くすることで、パスワード復元までの時間を非現実的な長さに延ばすことを推奨している。
この対策により、万が一パスワードが漏えいしても、復元が困難なためパスワードリスト攻撃等への悪用防止効果が期待できるとしている。
その他、第7版ではバッファオーバーフローやクロスサイト・スクリプティングの脆弱性の対策等を加筆しているという。
