Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
[B! セキュリティ] 「セキュリティ対策」
[go: Go Back, main page]

記事へのコメント44

  • 注目コメント
  • 新着コメント
atsushifx
煽っているけど、ようするにまずは真っ当に動くコードを書け。そのためにはテストをしろってだけの話。まずは真っ当に動くプログラムを書くことが安全なプログラムを書く第一歩

その他
ockeghem
そうだよね

その他
ka-ka_xyz
「セキュリティ対策」って視点が全く無いプログラマに、(例えば)ログイン毎にセッションID振り替えたりformにトークン埋め込んだりって発想は出てくるものか疑問。"正しく動作する"っていやその"正しさ"がね……

その他
hundret
“セキュリティ対策など考えなくていいので今すぐテストを書け”穴ボッコの設計書通りにコード書いて正しく穴が開いていますっていうテスト書いても意味ないけどな…

その他
t-murachi
バリデーションの話だから CSRF は考慮外ってことかな? 現時点でぶら下がってる TB 2つがあまりにもセンスなさすぎて感慨深い。

その他
hugie
こういう「言わなくてもわかるだろ、わかれ」的な言動がまかり通ると同時に「わかってない人」のコードもあふれるので、理解してる人もちゃんと説明することが必要。

その他
sds-page
開発者自身がテスト書くと脆弱性が生まれるんだよなぁ

その他
rna
その正論を淡々と実行できるプログラマは少数派で、くだらないバグは世界中で毎日産まれてて、そんなバグの中でもせめてヤバいやつには気を遣おう、てのがその手の「セキュリティ対策」というかけ声なんだと思う。

その他
rindenlab
"そういった脆弱性と呼ばれるほとんどのものはただのバグだ"

その他
megazalrock
これらのバグは被害がでかいから「セキュリティ対策」の枠組みに入れるくらい優先してやろうぜって話じゃないの。/コンサルとかがセキュリティ対策にバリデーションしろとか言ってきたらアレだけど。

その他
you21979
外からくるデータのバリデーションはフレームワークの使ってもいいし定義ファイルから自動生成でもいいけど自動化しとかないと後がツライで。

その他
ono_matope
セキュリティ対策言うなキャンペーンだ

その他
Jxck
そう、これにつきるんだよなぁと最近エラー処理を再考してて再認識した。

その他
iakio
脆弱性対策って、"ほとんどの場合においてこうである"と言われてもあまり意味がないと思う

その他
metamix
自分の中ではインジェクション対策みたいなのもバリデーションの範疇だったので最初はこんがらがってしまったが、表層的な入力値検証のことか

その他
Nagatani
“そういった脆弱性と呼ばれるほとんどのものはただのバグだ”, “セキュリティ対策など考えなくていいので今すぐテストを書け”

その他
yuyakko
脆弱性となるバグは他のバグに比べて深刻な被害をもたらすので、特別に追加の対策を講じましょう

その他
new3
バリデーションとベリフィケーションは違う、というおはなし

その他
spacefrontier
しかり。/ ただ、購入したコードが95%を占めていたりすると厄介。lib等のバイナリ購入の場合も。多くの場合購入元に試験成績書を出してもらうか実機テストするしかない。GPL汚染の場合自動チェックツールがあるけどね。

その他
y-kawaz
分かる

その他
rindenlab
rindenlab "そういった脆弱性と呼ばれるほとんどのものはただのバグだ"

2015/02/05 リンク

その他
ghostbass
アプリケーション仕様として「セキュリティ対策のためn文字まで許可」とかはあって良くて、その上でバリデーションが存在するのも良くて、で終わり。別にバリデーションやりません、とかあんまり聞かない。

その他
hhungry
ただのバグといったら「動けばええやん」で済まされてしまうんじゃない?セキュリティリスクを考えることが重要でしょ。

その他
lets_skeptic
入力バリデーションのみの話なのかな。パスワードのハッシュ化とか、ストレッチングとかの類はこの話の対象外?

その他
rryu
まあアプリケーション開発においては「セキュリティ対策」より「セキュアな設計」を心がける方が良いと思う。

その他
suna_kago
ふーん。

その他
rna
rna その正論を淡々と実行できるプログラマは少数派で、くだらないバグは世界中で毎日産まれてて、そんなバグの中でもせめてヤバいやつには気を遣おう、てのがその手の「セキュリティ対策」というかけ声なんだと思う。

2015/02/05 リンク

その他
anoncom
セキュリティ対策云々言ってるけど、それって結局ただのバグ(仕様バグ含む)だよね?という話。

その他
kogawam
概ねそうですね。例えばCSRF対策はアプリの挙動として定義。TBで指摘の入力値チェックも仕様として定義されるべき。ただコーディング上でも、最小権限とか重要データのメモリ上の取り扱いとか、あると言えばあるかな。

その他
yohgaki
まさか、これに同意するセキュリティ専門家はいないですよね?

その他
hugie
hugie こういう「言わなくてもわかるだろ、わかれ」的な言動がまかり通ると同時に「わかってない人」のコードもあふれるので、理解してる人もちゃんと説明することが必要。

2015/02/05 リンク

その他
pcnikki
テストを書けばすべて安全と言うのはあくまで理想であって、経験豊かな人はいいんだけど、不安を覚える人には何がセキュリティホールのポイントか認識させておかないと漏れが出てくると思う。

その他
shikiarai
世間が言うセキュリティ対策はただの正しく動かすためのプログラミングに過ぎないと言ってるだけのような……

その他
nabe1121sir
XSSやSQLインジェクション、あるいはバッファオーバーランについてはバグに違いないけど、CSRFは考慮モレだと思う。いずれにせよ、これらを最重要項目としてテストするために、セキュリティというのは問題ないんじゃ?

その他
shigeo-t
そうだよな

その他
trashtoy
徳丸さんのおっしゃる通り http://www.slideshare.net/ockeghem/validation-night-44126950

その他
deep_one
いまいち。例えばドメイン名に関するヴァリデーションとかは「プログラムが正しく動く」ためには特に必要がないことが多いわけだが。そのまま渡してもプログラムが正しく動いてエラーを返すからな。本来なら、だが。

その他
peketamin
"セキュリティ対策など考えなくていいので今すぐテストを書け"

その他
megazalrock
megazalrock これらのバグは被害がでかいから「セキュリティ対策」の枠組みに入れるくらい優先してやろうぜって話じゃないの。/コンサルとかがセキュリティ対策にバリデーションしろとか言ってきたらアレだけど。

2015/02/05 リンク

その他
cubed-l
実装が原因の脆弱性についてはそうなるよね/CSRFなどは設計が原因なので設計時点で。

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

「セキュリティ対策」

「不正な入力に対して脆弱性を発生させないようセキュリティ対策としてバリデーションを行う」。アホか...

ブックマークしたユーザー

すべてのユーザーの
詳細を表示します

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.