コントロールパネルは不変固定URL

PIECEのコントロールパネルは、ログイン画面から全ての機能・全ての画面が変わらない固定のURLです。

たとえば、URLの中に特定の文字列を追加して更新作業などを行う仕組みのシステムの場合、文字列を変更したURLにアクセスしただけでデータベースが書き換えられてしまう可能性があります。

また、権限管理などでメニューに表示されなくなっている機能でも、他の機能のURLを改ざんしてアクセスできてしまう可能性も発生します。そういったアドレスバーからの攻撃を一切排除します。

• PIECEの特徴：操作性のよいコントロールパネル

権限管理／IP制御

ユーザ・グループごとに各機能の使用権限を詳細に設定可能です。また、アクセス元IPを判別してアクセス制限を設けることもできます。

ユーザの権限は管理者・編集者などの大まかなカテゴライズではなく、各モジュールの機能に渡って詳細な設定が可能です。また、複数ユーザにまとめてグループ権限を設けることも可能ですので、面倒な設定をしたりアクセス情報を使いまわす必要もありません。

コントロールパネルにアクセスしている端末（ネットワーク）のIPを判別して制限を設けることもできます。自宅や外出先で操作できないルールを適用する場合などに最適です。

オペレーションログの記録

コントロールパネルでの操作はユーザ毎・機能毎に時間と共に全て記録されます。過去にさかのぼって、誰が、いつ、どのデータを操作したかといった記録の閲覧が可能です。

PIECEコアシステムのセキュリティ

SQLインジェクション対策

SQLを実行するすべての実装において、SQLインジェクション対策を実施しており、意図しないSQLの実行は行われないように制御されております。

クロスサイトスクリプティング対策

一般ユーザーが送信可能な文字列は原則的にHTML が許可されません。また、ユーザーが送信した文字列をHTML 属性等に用いる事はありません。その結果、クロスサイトスクリプティングは不可能となっております。

OSコマンドインジェクション対策

公開側、コントロールパネル共にブラウザからの入力値をOSコマンドとして実行する仕組みは一切実装しておらず、OSコマンドインジェクションに繋がる危険性は全くありません。

セキュリティ脅威対策

セッションハイジャックやNull バイトアタックなどが考えられますがそれらについての対策は標準で実装しております。 不正侵入、ウィルス対策についてはシステムではなくサーバーの範疇となるため、システムで何らかの対策を行っているということはありません。