September 13, 2017

突然「このWebアプリ、レビューしてくれる?」と言われたら

突然、何の観点でとかの指定もなくWebアプリケーションのレビューを依頼されることって、よくありますよね? (ナイナイ)

今日そういう依頼を受けてしまい、とにかく回答することを求められたので以下のことをやりました。

とりあえず脆弱性か

コードを提示されたわけでもなく稼働しているWebアプリのURLだけが送られてきたので、 コードレビューなどもできず稼働している外観からの観察しかできません。仕方がないので、まずは脆弱性の検証でもやってみました。

と言ってもそっちの専門家でもないので、自分のMacbookにOWASP ZAPを導入して検証してみました。

OWASPは「The Open Web Application Security Project」の略称で、Webアプリケーションを作成する開発者に対してセキュリティに関する十分な情報を行き渡らせることを目的とし活動している団体です。

OWASP ZAP とは「OWASP Zed Attack Proxy」の略で、OWASPのプロジェクトの一つから生まれたオープンソースのソフトウェアで、簡単にいうとWebの脆弱性検査ツールです。オープンソースで無料ですが、IPAなどでも非常に高い評価を受けています(IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開)

ツールを単体で立ち上げて「攻撃」して検証することもできますし、Proxyに指定してブラウザでの操作を通して検証することもできます。いきなり他人とサイトを「攻撃」したりすると問題になりますから、Proxyで検証することをオススメします。検証結果はHTMLファイルなどにエクスポート可能です。

レポートを確認して、検出された脆弱性を確認していけばそれなりのことが言えるようになります。脆弱性の意味が分からなければググりましょう。そして、専門家面して語りましょう。

アクセシビリティ

もう一つ、外観の観察だけでもの言えそうなのが「アクセシビリティ」です。

権威づけをするなら、総務省が公開しているmiCheckerあたりをかけて、レポートをみながら物申せば良いかと思います。JIS X 8341-3 1 とHTML5に準拠しているかどうかをチェックしてくれます。

問題はこのmiCheckerがWindowsアプリだってところです。

手元にWindows環境がなかったので、今回はAnother HTML-lint5でお茶を濁しておきました。

関連リンク


  1. 高齢者・障害者等配慮設計指針-情報通信における機器,ソフトウェア及びサービス-第3部:ウェブコンテンツ [return]

© 沙門