2006-03-30
■ ウェブアプリケーション セキュリティ
最近、ウェブアプリケーション セキュリティ周りについて勉強してる。
とりあえず、『PHPサイバーテロの技法―攻撃と防御の実際』はイイ! PHP 以外でも使えます。既知の攻撃方法14種を具体的に体感できるのがいいなぁ。これで1800円は安いよ! 「やってみよう」が telnet 手打ちってところがいいなぁ(ファイルアップロード攻撃まで!)。
今 Rails 上で試してみてるんですが、PHP の特有の設定や関数で防御してるところをどうしようかなぁ……。うーん。ActiveRecord のコードをざっと追った限り、SQL Injection まわりは問題なさそう。ほぼ全てのメソッドにエスケープ処理が入っているんで。:condition 等では必ずバインド変数(プレースホルダ ? でもいいし、名前付きバインド変数 :hoge でもいい)を使いましょう。注意するところは find_by_sql、LIKE 条件ぐらいかな。あと、LIKE 条件を安全に作るメソッドがあってもいいかも。既にある?
OWASP の「安全な Web アプリケーション構築の手引き」も読む。貪欲に読む。こっちはもうちょっと俯瞰的に見た概要って感じ。
『Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?』も買っちゃった。今日届くはず。
あ、そうそう、咳さんが ERB にデフォルトで HTML エスケープする機能を追加してみましたけど効果はいかほどか?正直わからん。というようなことを言っていましたけど、XSS や Script Insertion といった脆弱性は、ウェブアプリでかなりの割合を占める HTML 描画部分で起こるので、これらを防げるのは大きいと思います。
あと、反応が余りないなぁ、と言ってましたが、咳さんのサイトはいっぱいあって(mixi、はてな、I like Ruby.)完全に補足できてないからだと思います。1個パブリックな Blog かなんかに咳プロダクツの全ての更新情報が集約されてると嬉しいんですけど。(Wiki はヲチするにはちと辛い……)
■[rails] 郵次郎: 郵便番号検索サービス
Copyright(C) Twinspark Co.,Ltd. All Rights Reserved.
Powerd by Ruby On Rails
これって、もしかして kdmsnr さん?(高橋さんはもう開発に手が出せなくてマネージメントとかやってそう) ツインスパークって PHP 専業だと思ってた。
追記:
旧郵次郎は波止場で海を眺めているようなので、新郵次郎もドラムを叩いた方がイイと思います。もしくは、ブラインド越しに外を覗くとか。
あ、改善希望は真面目なヤツです。
追記:
古いのが残ってるみたい>アイナック
経営統合についてのご案内
さて、このたび株式会社アイナック(以下アイナック)は、株式会社ツインスパーク( 以下ツインスパーク)と経営統合をおこなう ... これに伴い、アイナックの業務をツイン スパークに移管致します。ツインスパークはITマーケティングツールの開発メーカー ...
■[rails] Ruby on Railsのトレーニング開始、まつもとゆきひろ氏擁するNaCl − @IT
本文で NaCl が NaCI になってますよー。コンタクトがメールっぽいのでだるいので出さない。
追記:
直してくれたっぽい。お疲れ様です。
結構色んな人が見てるのね。迂闊なことは書け……書くよ!
■[database][oracle] sqlplus の SET コマンド
set heading off set echo off set feedback off set pagesize 0 set trimspool on set termout off set linesize 1000
各コマンドの意味は「SQL*Plus Guide Book」が良いのではないかと。
あと、タブ区切りが大好きなので、
SELECT
T_Hoge.id || ' ' ||
T_Hoge.name || ' ' ||
...
FROM
T_Hoge
;
としてる。
set colsep ' '
でいけるはずなんだけど、要らん空白が入るんだよなぁ。
あと、デザインはしませんです。うちにはすごいデザイナーがいるので。
デザイナは ERB 書いたんですか?
デザイナはHTML+CSSで、ERBは私の方で。デザイナさんは私の目の前に座っているので、やりとりは困らないですし。
改善要望は来月あたりに対応しますです。