こういう事があるので「アプリで入力バリデーションします」と言っています。普通に入力バリデーションしていれば、このケースでも少なくとも自分のアプリが進入経路になることはありません。 fb.me/1zMut7F5x
2015-01-28 18:54:52GHOSTで大騒ぎですが、全てのアプリが普通に入力バリデーションをしていれば騒ぐような事にはなりませんでした。入力バリデーションの有用性を必死に否定しようとする開発者の論理がどうなっているのか、私には全く理解できません。
2015-01-28 19:07:30アプリケーションは入力値によって挙動が変わる→入力値さえ制御すればおかしなことが起こらない→おかしなことが起こるのは脆弱性だ→入力値のバリデーションはバリデーションだという思考が成り立ってるんだろうなぁ
2015-01-29 10:49:38でも実際のアプリケーションは入力値を様々に加工して使うので、その結果、バリデーションで問題なくても、脆弱性になるケースが多々ある。バリデーションの仕様自体はアプリケーションの仕様によって決まってくるもんだしね
2015-01-29 10:51:12正しくは「アプリケーションは入力値によって挙動が変わる→入力値さえ制御すればおかしなことが起こらない→おかしなことが起こるのは脆弱性だ→入力値のバリデーションはセキュリティ対策だという思考が成り立ってるんだろうなぁ」だったわw
2015-01-29 10:54:48今話題のGHOSTですが、気になったので調べてみました。自分で調べる必要がなかったので助かりました。 blog.ohgaki.net/ghost-what-is-… fb.me/3bz7GjBU3
2015-01-29 14:34:27GHOST脆弱性の内容 blog.ohgaki.net/ghost-what-is-…... fb.me/1Lb7acGYV
2015-01-29 15:10:19glibcのGHOST脆弱性の内容と検出 blog.ohgaki.net/ghost-what-is-… '0'を'\0'と読み間違えていたので修正しました。
2015-01-30 07:57:53『Eximは…入力バリデーションを行っていれば問題となりませんでした』<Eximはホスト名の文字種チェックはしているのでこの記述は不正確 / “GHOSTを使って攻撃できるケース | yohgaki's blog” htn.to/sXDsnp
2015-01-31 14:39:53入力バリデーションが外部ライブラリの脆弱性の影響を防ぐ、が成り立つためには、入力バリデーションには外部ライブラリを使えない。言うまでも無くナンセンス。 / “GHOSTを使って攻撃できるケース | yohgaki's blog” htn.to/R9FeVs
2015-02-01 20:02:54徳丸さんと大垣さん、おたがいにおたがいを刺激し合って相互に学びあうよい関係性。これぞ好敵手(と書いてライバルと読む
2015-02-03 10:29:23@kenji_s そこが私もよくわかっていないのですが、/etc/hosts で 00000000. など先頭か末尾にドットをつけるとホスト名として扱われるようです。RFC上では説明がみつけられませんでした
2015-02-03 10:38:24RFC1123 Requirements for Internet Hosts -- Application and Support 2.1 Host Names and Numbers > ow.ly/InToz
2015-02-03 11:39:165件のコメント b.hatena.ne.jp/entry/blog.tok… “EximのGHOST脆弱性の影響とバリデーションの関係 | 徳丸浩の日記” htn.to/kfnD1q #セキュリティ
2015-02-03 11:51:351月31日 "@s_hskz: @s_hskz @ockeghem [get host by name]を忘れていますから、名前解決をする気がないのでしょう。"
2015-02-03 12:47:21EximもDrupalも「バリデーションしていれいば攻撃は防げた」のに、両ソフトとも現時点ではバリデーション処理は追加しておらず、Drupalは脆弱性発生箇所での対処、Eximは回避策の紹介とglibcのアップデートで対処を推奨している、というところが興味深いところです
2015-02-03 13:35:23Drupal開発者たちの「余計なバリデーションは絶対しねーよ」という姿勢はとても共感するものですが、私はそこまで強硬派ではなくて、「そんな固いこと言わずにバリデーションしておけば…」と思います。つまり、大垣さんが挑むべき敵は僕なんかではなく、Drupalの開発者たちですねw
2015-02-03 13:40:02