技評の記事「入力バリデーションはセキュリティ対策」に読者を混乱させるとコメントしたら名誉毀損だと恫喝された件

gihyo.jp @gihyojp

なぜPHPアプリにセキュリティホールが多いのか?「第45回　入力バリデーションはセキュリティ対策 」by @yohgaki 公開 http://t.co/fFMJNfy8

徳丸 浩 @ockeghem

バリデーションがセキュリティ対策か否かは用語の定義の問題に過ぎない。バリデーションが不要とする人などいない。何を基準にバリデーションするかが重要 / “なぜPHPアプリにセキュリティホールが多いのか?：第45回　入力バリデーションはセ…” http://t.co/NwO4HbMn

yousukezan @yousukezan

最初に著者が主張したいであろう「大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えている」ということについて、誰がいつどこでその考えを公表しているのか具体的な例がないのが残念。 #gihyojp http://t.co/UkwjWcDX

Yosuke HASEGAWA @hasegawayosuke

「ベストプライス」って何? http://t.co/R9BcCGbd

yousukezan @yousukezan

とはいえ「入力バリデーションはセキュリティ対策である」は世界の常識かどうかは枝葉末節なのでどうでもいいや。

徳丸 浩 @ockeghem

私もそう思います。「バリデーションはセキュリティ対策という世界の常識」は、Webアプリの世界ではどうも怪しいぞ、という話ですからね RT @yousukezan: とはいえ「入力バリデーションはセキュリティ対策である」は世界の常識かどうかは枝葉末節なのでどうでもいいや。

yousukezan @yousukezan

@ockeghem 正しいかどうかはおいといて、常識か常識じゃないかみたいなどうでもいい自説を声高に開陳されるよりは、脆弱性をなくすベストな方法を淡々と述べてもらえる方が読者としてはうれしいですね。

徳丸 浩 @ockeghem

@yousukezan はい、そう思います。バリデーション不要説を唱えている人はいないので、どうバリデーションするのがよいかを説明していただくのがよいと思います。

Yosuke HASEGAWA @hasegawayosuke

「ベストプライス」が「ベストプクティス」になった。ぷくてぃすってかわいいな。

Ikeda Masakazu @ikepyon

入力値のバリデーションが常にセキュリティ対策であるという主張に問題があるのであって、場合によってはセキュリティ対策となりうるだったら、誰もツッコミ入れないと思う

Yosuke HASEGAWA @hasegawayosuke

バリデーションは方法、セキュリティ対策は目的。目的を達成する方法は複数あるし、常に目的 == 方法が達成するわけじゃないしね。

Ikeda Masakazu @ikepyon

エスケープ処理がセキュリティ対策として万全じゃないという主張と変わらんのだがな〜？なぜそのことを受け入れないんだか？

Ikeda Masakazu @ikepyon

仕様の問題がセキュリティの問題になる例はアマゾンの欲しいものリストの件やら、彼ログ何かがあると思う

Ikeda Masakazu @ikepyon

みんなが言ってるから僕の主張は正しいんだもん！と言うのはよくおかしな主張するイタイ人に使われるねw

Ikeda Masakazu @ikepyon

かの人のOWASPの訳を読んでみると入力のバリデーションは必ずしも役に立つわけではないと取れるね。でもかの人の文書では必ず対策になると書いてある不思議w

Kazunori Otani @katzchang

「入力値のバリデーションは必要ですね」で十分。前回記事は、「出力エスケープと重複する」という記述が、特に沢山の人を混乱させていた。 / “なぜPHPアプリにセキュリティホールが多いのか?：第45回　入力バリデーションはセキュリティ対策…” http://t.co/EBsovge3

徳丸 浩 @ockeghem

徳丸本を見返したら、「入力値検証の主目的はセキュリティのためではありませんが、セキュリティのために役立つ場合もあります」(P76)とありますね。これでいいんじゃないの? #wasbook

Yasuo Ohgaki (大垣靖男) @yohgaki

@ockeghem 世界的にはセキュリティ対策の為に入力のバリデーションは絶対にしなさい、という話になっていると思いますよ。

徳丸 浩 @ockeghem

@yohgaki その際の入力バリデーションは、何を基準に行うのですか?

徳丸 浩 @ockeghem

@yohgaki 大垣さん推薦の「Ajaxセキュリティ」では、氏名のバリデーションの際にアポストロフィを許容しなければならないが、安全のため、アポストロフィは一つまでに制限するとよい、と書かれています。セキュリティ基準にバリデーションすると、そういう珍妙な話になりがちだと思います

徳丸 浩 @ockeghem

@yohgaki (1)バリデーションすべきは同意、（2）「セキュリティ対策」かどうかはどうでもいい、(3)どうバリデーションするかが問題で、徳丸の主張は「アプリケーションの仕様にそって淡々とバリデーションする」

徳丸 浩 @ockeghem

金床本はバリデーションを対策の主眼においているので、大垣さんと近い考え方なのでしょうか、とわざとふってみるw

Yasuo Ohgaki (大垣靖男) @yohgaki

@ockeghem あの本にもいろいろ注文は付けたい部分はありますね。私は正しい入力を受け入れなさい、と言っているだけですね。バリデーションがセキュリティ対策ではない、と言うのはgihyo.jpに書いたとおり間違いです。

徳丸 浩 @ockeghem

@yohgaki 「正しい入力」とは、アプリケーションの仕様と考えていいですか?