技評の記事「入力バリデーションはセキュリティ対策」に読者を混乱させるとコメントしたら名誉毀損だと恫喝された件
なぜPHPアプリにセキュリティホールが多いのか?「第45回 入力バリデーションはセキュリティ対策 」by @yohgaki 公開 http://t.co/fFMJNfy8
2011-12-19 10:55:03バリデーションがセキュリティ対策か否かは用語の定義の問題に過ぎない。バリデーションが不要とする人などいない。何を基準にバリデーションするかが重要 / “なぜPHPアプリにセキュリティホールが多いのか?:第45回 入力バリデーションはセ…” http://t.co/NwO4HbMn
2011-12-19 12:56:58最初に著者が主張したいであろう「大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えている」ということについて、誰がいつどこでその考えを公表しているのか具体的な例がないのが残念。 #gihyojp http://t.co/UkwjWcDX
2011-12-19 13:04:33私もそう思います。「バリデーションはセキュリティ対策という世界の常識」は、Webアプリの世界ではどうも怪しいぞ、という話ですからね RT @yousukezan: とはいえ「入力バリデーションはセキュリティ対策である」は世界の常識かどうかは枝葉末節なのでどうでもいいや。
2011-12-19 13:09:01@ockeghem 正しいかどうかはおいといて、常識か常識じゃないかみたいなどうでもいい自説を声高に開陳されるよりは、脆弱性をなくすベストな方法を淡々と述べてもらえる方が読者としてはうれしいですね。
2011-12-19 13:12:38@yousukezan はい、そう思います。バリデーション不要説を唱えている人はいないので、どうバリデーションするのがよいかを説明していただくのがよいと思います。
2011-12-19 13:15:22入力値のバリデーションが常にセキュリティ対策であるという主張に問題があるのであって、場合によってはセキュリティ対策となりうるだったら、誰もツッコミ入れないと思う
2011-12-19 13:19:22バリデーションは方法、セキュリティ対策は目的。目的を達成する方法は複数あるし、常に目的 == 方法が達成するわけじゃないしね。
2011-12-19 13:21:21エスケープ処理がセキュリティ対策として万全じゃないという主張と変わらんのだがな〜?なぜそのことを受け入れないんだか?
2011-12-19 13:21:27かの人のOWASPの訳を読んでみると入力のバリデーションは必ずしも役に立つわけではないと取れるね。でもかの人の文書では必ず対策になると書いてある不思議w
2011-12-19 13:53:31「入力値のバリデーションは必要ですね」で十分。前回記事は、「出力エスケープと重複する」という記述が、特に沢山の人を混乱させていた。 / “なぜPHPアプリにセキュリティホールが多いのか?:第45回 入力バリデーションはセキュリティ対策…” http://t.co/EBsovge3
2011-12-19 13:58:14徳丸本を見返したら、「入力値検証の主目的はセキュリティのためではありませんが、セキュリティのために役立つ場合もあります」(P76)とありますね。これでいいんじゃないの? #wasbook
2011-12-19 17:14:39@ockeghem 世界的にはセキュリティ対策の為に入力のバリデーションは絶対にしなさい、という話になっていると思いますよ。
2011-12-19 17:16:13@yohgaki 大垣さん推薦の「Ajaxセキュリティ」では、氏名のバリデーションの際にアポストロフィを許容しなければならないが、安全のため、アポストロフィは一つまでに制限するとよい、と書かれています。セキュリティ基準にバリデーションすると、そういう珍妙な話になりがちだと思います
2011-12-19 17:24:06@yohgaki (1)バリデーションすべきは同意、(2)「セキュリティ対策」かどうかはどうでもいい、(3)どうバリデーションするかが問題で、徳丸の主張は「アプリケーションの仕様にそって淡々とバリデーションする」
2011-12-19 17:28:30@ockeghem あの本にもいろいろ注文は付けたい部分はありますね。私は正しい入力を受け入れなさい、と言っているだけですね。バリデーションがセキュリティ対策ではない、と言うのはgihyo.jpに書いたとおり間違いです。
2011-12-19 17:53:24