PHP系フレームワークもインジェクション!徳丸先生による「実例で感じるセキュリティー対策」 #phpcon2015 #phpcon2015_1
perlのSQL:Makerが出てきてちょっとどきどきした。at 徳丸先生のSQLインジェクションのお話 #phpcon2015
2015-10-03 11:40:36開発工程でセキュリティ対策するのが最も効率が良い! #phpcon2015 pic.twitter.com/5yJlwR51QO
2015-10-03 11:41:32フレームワークやライブラリが完全にSQLインジェクション対策できているとは限らないので使うのには自分での判断と注意が必要 って感じかな #phpcon2015_1
2015-10-03 11:42:11デジタルサーカスのホームページも、もちろんdrupalで動いています。 #phpcon2015 pic.twitter.com/Tfw5gR4OhA
2015-10-03 11:50:43DrupalのSQLインジェクションおそろしい。。。WebサービスやSQLジェネレータでもSQLインジェクションが。。。 #phpcon2015
2015-10-03 11:53:131)SQLインジェクションは開発社側の重過失責任 2)PHP入門書はSQLインジェクション対策はほぼ大丈夫。だが他のセキュリティバグがまだまだある。 3)SQLジェネレーターには気をつけろ #phpcon2015
2015-10-03 11:56:16SQLインジェクション判例は、EC-CUBE のカスタマイズ部分で発生したと思われる。契約では構築時以降のセキュリティパッチ対応が含まれていなかったらしい。発注者も受注者もこの辺を気をつけないとねー #phpcon2015 #phpcon2015_1
2015-10-03 11:56:31SQL インジェクションで開発会社が裁判で云々の件、状況的にカスタマイズ部分に脆弱性があったと考えられるので責任を問われるのは妥当な面もあるという補足。 #phpcon2015
2015-10-03 11:58:47セキュリティ対策は開発側が「専門家としての責務」の最低限の知識は「IPAの安全なwebサイトの作り方」が一応基準となる。 #phpcon2015
2015-10-03 11:59:43SQL インジェクションの件とは関係なく、一般に、CMS などを案件で使う場合、納品後のパッチ適用やセキュリティアップデートの運用について、せめて提案した方がよいとの話。納品して終わり案件でも、将来的なセキュリティの話は伝えるべきということですね。 #phpcon2015
2015-10-03 12:01:07判例はSQLインジェクションで、他の脆弱性の場合に過失になるかはわからないが、このあたりはチェックしておいたほうがよさそう #phpcon2015_1 / 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構 - ipa.go.jp/security/vuln/…
2015-10-03 12:03:18