「入力ミス」と「入力バリデーションエラー」の違いに関する大垣さんと徳丸のやり取り
「入力ミス」と「入力バリデーションエラー」の違いについて、大垣さんのご著書「Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?」に言及がないようだがと質問したところ、「プログラマにとって当たり前過ぎて説明する必要もない」というお返事、サンプルにその実装がないようですがと質問すると、「もし無いならバグですね」と返答いただきました
-
- いいね!8
Yasuo Ohgaki (大垣靖男)
@yohgaki
カバー範囲でいうと、入力ミス>バリデーションエラーである事は自明。自由に入力できるメールアドレスならキーボードで入力できる文字(ただし制御コードは除く。普通TEXT入力なので)、長すぎない文字列、エンコーディングがOKならバリデーションOK RT @ockeghem どう区別
2013-07-21 18:10:15
Yasuo Ohgaki (大垣靖男)
@yohgaki
JavascriptやFlashでチェックしてたら厳しくチェックしまよ。送信元でチェックがあるか?も入力仕様の1つです。 RT @ockeghem: OWASPの解説からAccept known goodの項を見る限り、そうは読めませんね。厳格にチェックしています
2013-07-21 18:11:32
徳丸 浩
@ockeghem
よく分かりました。しかしこれは大垣さん独自の意見ですよね。他で見たことがないし、OWASPの資料もそこまで深読みは無理があります RT @yohgaki: JavascriptやFlashでチェックしてたら厳しくチェックしまよ。送信元でチェックがあるか?も入力仕様の1つです…
2013-07-21 19:29:32
Yasuo Ohgaki (大垣靖男)
@yohgaki
深読みですか?さまざまな入力の仕様を理解していれば自明な事です。RT @ockeghem: よく分かりました。しかしこれは大垣さん独自の意見ですよね。他で見たことがないし、OWASPの資料もそこまで深読みは無理があります
2013-07-21 19:31:11