スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月30日のtwitterセキュリティクラスタ

雨ですね。12月なだけに雪に変わったりでもするのでしょうか。

大垣氏の「なぜPHPアプリにセキュリティホールが多いのか?」という原稿にたくさん意見が集まって盛り上がっています。編集者としてはばんばんざいですよね。
yohgaki :はてなブックマーク - 第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp … 技術評論社 http://ow.ly/7I06Cモノリシックに書いているかどうかは処理が重複しているかどうかとは無関係


rryu2010 :大垣さんはそろそろ出力時のバリデーションに通らなかった場合にどう処理すべきなのかを明示するべき。「SQLに安全に使用できない文字が使われました」という例外でも出すのだろうか。 / “第44回 セキュリティ対策が確実に実施されない2つの…” http://htn.to/agXg8u


rryu2010 :大垣さんはそろそろ出力時のバリデーションに通らなかった場合にどう処理すべきなのかを明示するべき。「SQLに安全に使用できない文字が使われました」という例外でも出すのだろうか。 / “第44回 セキュリティ対策が確実に実施されない2つの…” http://htn.to/agXg8u


katzchang :バリデーションは仕様の話であって、セキュリティ対策ではない。出力の項も結局「バリデーションしなさい」ということになってて、何が言いたいのかようわからん。 / “第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp…” http://htn.to/31K4Jj


meltedice :Rails についてよく知らないのにdisってる検討はずれな残念記事。"なぜPHPアプリにセキュリティホールが多いのか?:第44回 セキュリティ対策が確実に実施されない2つの理由 #gihyojp "


pmakino :入力時のバリデーションと出力時のエスケープが重複処理だというような基本的な思い違いをするような人が解説文を書いているからですねわかります / “第44回 セキュリティ対策が確実に実施されない2つの理由|gihyo.jp … 技術評論社” http://htn.to/f9kg2a


ホワイトリストでのバリデーションは間違ってないけど、セキュリティとは特に関係ないし、実運用上は例外をどんどん追加する必要があって残念ということなのでしょうかね。
bakera :[メモ] 苦笑しつつスルーしたいところですが、Railsがdisられている部分はちょっと……。Rubyコミュニティの方々は力強く反応したほうが良いのではないかという気がしないでもないです。

sakuro :@bakera このコンテキストでARのバリデーションが出てくる辺りで読む気が失せてました…

bakera :@sakuro ですね……。徳丸さんが過去に何度も指摘されていたと思いますが、バリデーションはセキュリティのための施策ではないですからね……。

bakera :だいたい、入力を受け入れた直後にバリデーションが走ったら、値をアプリ側で訂正してから格納するという処理ができなくなりますよね。入力が少しでも変だったらエラーを出すしかない残念アプリになると思います。ひょっとしてPHPのフレームワークってそんな感じなんですか?

ockeghem :@bakera それ、WAFでホワイトリスト検査した場合の動作ですね。WAFのホワイトリスト検査がいけてないという根拠の1つです>入力が少しでも変だったらエラーを出すしかない残念アプリ

bakera :@ockeghem なるほど、WAFのホワイトリストにはそんな副作用もあるのですね。

ockeghem :@bakera そうなんです。この1点だけで、WAFのホワイトリストが使い物にならない理由として十分だと思います。


そりゃ怒り狂う人も出てくるわけですわ。
smbd :カミンスキーアタック、未対策がIPアドレスベースで10%はあるのかー


その他気になったことはこのあたり。
jpcert :JPCERT/CCセキュアコーディングチームによるCodezine執筆スタート。Androidアプリ開発者なら押さえておきたいJavaセキュアコーディングの意味と効果 ^YK


sophosjpmktg :米研究者がHPプリンタの脆弱性を実証――乗っ取られ、制御される恐れも - ITmedia エンタープライズ


connect24h :情報処理推進機構:プレス発表:記事:「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド改訂2版」を公開 http://owl.li/7JkaN


jpcert :こんにちは。Weekly Report 2011-11-30を公開しました。^YK


ockeghem :Part2。やはり素晴らしい内容 / “サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会” http://htn.to/sZMssQ


CyberCrimeNEWS :Microsoft say hackers launch millions of Java exploits http://dlvr.it/yLCx1 #ccureit


yasulib :ASCII.jp:ウイルスの感染場所から理解する感染PCの復旧|週刊セキュリティレポート エフセキュアの富安さん


bubsnewscom :窓の杜、スマートフォンを守るセキュリティ対策アプリ8本を徹底比較 - http://tinyurl.com/78lxp8b

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。