-
- いいね!2
どこにもいない人
@nowhereman17
とてもよく理解出来ました。反面、あーあ。。。てな気分。 ☞ 徳丸浩氏との長年の議論に終止符 – 論理的/体系的セキュリティとそれ以外 | yohgaki's blog blog.ohgaki.net/tokumaru-hiros…
2015-02-21 19:28:22
t.junichi
@tjun1
ブコメが。。 / 他51コメント b.hatena.ne.jp/entry/blog.ohg… “徳丸浩氏との長年の議論に終止符 – 論理的/体系的セキュリティとそれ以外 | yohgaki's blog” htn.to/yjgSut
2015-02-22 00:54:06
shs_kz
@s_hskz
…例えば「title要素の中身はエスケープしろよ」は、セキュリティ対策なのかというと…マークアップに使う文字は、もともと文字参照するのがHTMLの約束なのであって…セキュリティ対策だ、XSS対策だ、とか言われるとムカつくクラスタなオイラです #yohgaki
2015-02-22 01:03:29
shs_kz
@s_hskz
@s_hskz まだXSS脆弱性が認知されていなかった時代に、高木さん【誰】が作ったアプリケーションは文法的に正しいHTMLを吐き出す志向を持っていた。XSS脆弱性の概念が知られ始めた頃、高木さんは自らの創作物を検査したが、ほぼ問題がなかった。 #yohgaki
2015-02-22 01:13:06
shs_kz
@s_hskz
@s_hskz 正しいモノヅクリをすること、良い機能を持つアプリケーションを作ること、それは結局、脆弱性から身を守っていた。別にXSS対策、セキュ対策していたんじゃない… #yohgaki
2015-02-22 01:17:43
結城まお
@yukimao
朝はあまり書けなかったけど、アプリケーション仕様とセキュリティ仕様で矛盾する記述があったらそれを元に作業する人たちが混乱するのは必至。 #yohgaki
2015-02-22 01:34:03