更新 2013年7月22日作成 2012年1月15日

技評の記事「入力バリデーションはセキュリティ対策」に読者を混乱させるとコメントしたら名誉毀損だと恫喝された件

http://gihyo.jp/dev/serial/01/php-security/0045 に率直なコメントを入れてはてブしたところ、著者と思われる人間が絡んできて、自分が言ってもいないことを捏造して非公式RTを繰り返した挙げ句果てには名誉毀損だとか考えがあるなどといった恫喝めいたmentionを送ってきたので記録としてまとめておきます。関連: バリデーションは仕様を基準にして行う～大垣さんと徳丸の会話～ http://togetter.com/li/231560

プログラミング yohgaki security バリデーションおじさん webアプリケーション PHP セキュリティ大垣靖男

pmakino
16649
1
1
4
0

5

前へ 1 ・・ 3 4 5 ・・ 21 次へ

Ikeda Masakazu @ikepyon

私の主張って変か？データをその形式に合った処理しろといってるだけなんだが？

2011-12-20 13:17:01

Ikeda Masakazu @ikepyon

『123』というデータを百二十三と言う数値として取るか、1、2、3という文字の並びとして取るかはプログラマ次第で、プログラマが数値として取り扱ってるのに、言語などが文字の並びとして勝手に解釈するのはオカシイ

2011-12-20 13:21:38

Ikeda Masakazu @ikepyon

だから、プログラマが意図しないデータを勝手に解釈して、無理矢理処理するんじゃなくて、そのデータはオカシイと言語なんかが判断しろと言ってるだけなんだがなぁ

2011-12-20 13:24:46

Ikeda Masakazu @ikepyon

脳内設定が酷い気がしてきた(^^;;

2011-12-20 13:33:43

Yasuo Ohgaki (大垣靖男) @yohgaki

@ikepyon プログラマが文字エンコーディングのバリデーションが必要なテキストとそれ以外（これもバリデーションが必要）を切り分けるのだから自動じゃないですよ。どう考えても自動で入力バリデーションというコンセプト自体に瑕疵があるのでは。

2011-12-20 14:33:12

Yasuo Ohgaki (大垣靖男) @yohgaki

@ikepyon どう自動化するのか説明してもらった方が早いかな？それで、欠陥を指摘する方が良いように思います。

2011-12-20 14:34:30

Ikeda Masakazu @ikepyon

@yohgaki だから、データがテキストとして取り扱うかどうかを決めるのはプログラマの仕事、プログラマがテキストとして取り扱うコードを書いてるのに、無理矢理テキストでないデータをテキストデータとして取り扱うのがオカシイといってるんです

2011-12-20 14:59:01

Yasuo Ohgaki (大垣靖男) @yohgaki

@ikepyon データに応じた適切な処理をするのが「プログラマ」の仕事ですよね。どうやって「テキスト」を自動的に処理するのでしょうか？人が仕分をする時点で自動じゃないですよね。

2011-12-20 15:01:54

Yasuo Ohgaki (大垣靖男) @yohgaki

@ikepyon 納得できる「自動化」の手順を教えて頂ければ、今日から自動化推進者になりますよ。なので手順を教えてください。

2011-12-20 15:05:18

Yasuo Ohgaki (大垣靖男) @yohgaki

はてなブックマーク - なぜPHPアプリにセキュリティホールが多いのか? http://t.co/0bHsNDWp 文章の書き方に問題があるのか、書き方に問題があるのか。理解していないと思われるコメントもあるなあ。

2011-12-20 15:20:08

Yasuo Ohgaki (大垣靖男) @yohgaki

「コンピュータの計算は不正確」は常識だ！という記事を書くともっと面白い反応があるのかな？数値計算で一番最初に学ぶことだと思うのだけど。

2011-12-20 15:21:29

きしだൠ(K1S) @kis

@yohgaki スクリプト言語だからバッファオーバーラン対策は不要、って思っている人の対策が必要かも。

2011-12-20 15:30:52

CHIBA Masahiro @nihen

はい / 入力バリデーションはセキュリティ対策？ http://t.co/CWaWgeH1

2011-12-20 15:41:30

Yasuo Ohgaki (大垣靖男) @yohgaki

@kis ですね。使ってるライブラリは完璧じゃないし、新しい物がどんどん出てくるのに。自分は心配になるので対策をしたくなります。

2011-12-20 15:51:46

Yasuo Ohgaki (大垣靖男) @yohgaki

@mrkn Ruby複雑だから。全部知らなくてもプログラムは作れるから問題なし。

2011-12-20 15:53:09

CHIBA Masahiro @nihen

id:katzchang 数値のバリデーションを行った上でエスケープ処理をすることを「重複」と表現することはそんなに間違ってないと思いますけどねー / “なぜPHPアプリにセキュリティホールが多いのか?：第45回　入力バリデーションは…” http://t.co/TjKr6Fn8

2011-12-20 15:54:34

CHIBA Masahiro @nihen

言葉の定義の問題だし自分もぶっちゃけどうでもいいとは思ってる。だからこれから１ヶ月ぐらいセキュリティ対策って言葉使うの禁止な。

2011-12-20 15:57:32

Ikeda Masakazu @ikepyon

@yohgaki 一番手っ取り早いのはテキストデータの型を持つ変数を実装することです。型が無いならデータをテキストとして取り扱う内部関数なり、演算子の中で入力値のバリデーションをすれば良いのでは？

2011-12-20 16:39:41

Ikeda Masakazu @ikepyon

@yohgaki そうすればプログラマはテキストデータを取り扱うことだけに専念出来るとおもいますが？

2011-12-20 16:41:48

Yasuo Ohgaki (大垣靖男) @yohgaki

@ikepyon タグ方式ですね。2つ問題が。1つは、自動ではないです。プログラマが意図的にやらないと漏れがでる。2つ目は当たり前ですがエンコーディングタグを持たない型の言語では使えません。

2011-12-20 17:03:55

Ikeda Masakazu @ikepyon

並行線論法は、勘弁してw

2011-12-20 18:22:21

Ikeda Masakazu @ikepyon

わかってたけどw

2011-12-20 18:23:11

Ikeda Masakazu @ikepyon

使える機能は有効活用して楽しようぜってのが私はの立場だし。

2011-12-20 18:26:14

Ikeda Masakazu @ikepyon

元の定義を擦り合わせて無いから並行線になるのも当然なのはわかってやったことなんだがなw

2011-12-20 18:35:31

Ikeda Masakazu @ikepyon

どうとればいいのだろう？w RT @tomoki0sanaki: @ikepyon 巨大な敵に臆することなく、尊敬します。(苦笑)

2011-12-20 18:43:33

前へ 1 ・・ 3 4 5 ・・ 21 次へ

いま話題のタグ

劇症型溶連菌1 響け!ユーフォニアム183 結婚2082 インターネット老人会403 草津町110 ねこ2437 米津玄師141 ChatGPT461 クリスチーネ剛田9 ニコニコ252 ソ連407 食中毒234 人工言語64 著作権2136 溶連菌6