To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。
これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
2008-03-13 目がかゆすぎる
■[セキュリティ]トレンドのサイト改ざん 
http://itpro.nikkeibp.co.jp/article/NEWS/20080313/296120/?P=2&ST=security
SQLインジェクションの線が濃厚っぽい。
こんなのも出てるし。
■[セキュリティ]PHPは本当に危険なのか? 
http://enterprisezine.jp/article/detail/311
とか、IPAの「例えば、PHPを避ける」(IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント)とかみるとPHP自身の問題と、PHPで作成されたWebアプリの問題をごっちゃにしている気がしている。
PHPという言語自体に問題があるのは確かだし、PHP4を未だ使い続けているというのも問題だけども、だからといってこういった記事を見て、明日から「PHPは危険だから、Webアプリの開発にJava/.NETにしよう」といっても正しいプログラムの書き方を知らないことには、Webアプリの脆弱性はなくならないだろう。
PHPの問題は、以下の点の様な気がする。
- PHPに下位互換性が無い。全くバージョンが違うと全く別の言語といってもいいくらい仕様が異なる。
- PHP本体と拡張機能がごっちゃになっているため、便利な機能が多い反面、落とし穴&バグが多い。
- 一見するとセキュリティ対策のようななんちゃってセキュリティ対策が多い。
- デフォルトで便利機能が有効になっている=セキュリティ上問題がある。
- PHPは簡単に覚えられるので初心者向きという幻想がある。(プログラムに詳しい人にとって学習の敷居は低いけれど、気をつけなくてはならないことが多いからかえって大変だと思う。)
PHP自身が抱えている問題は他の言語、フレームワークを使うことで減らすことができるのは確かだろう。
それと、初心者が作るWebアプリケーション自身が持つ脆弱性の多さと分離して考えないといけないんではないかと思う。PHPは初心者向きという誤った宣伝がなされているがために、初心者がきちんと危険性を理解せず脆弱性のあるWebアプリを大量に作りこんでしまっているのが現状ではないか?
今後新たにPHPのような「初心者向き」と呼ばれる言語ができたとして、そちらに移ったとしても同じことがおこるんじゃないかなぁと思う。
もっとも、新しい「初心者向き言語」が何も考えずに、安全なアプリケーションが作れるのであればそういうことは起こらないかもしれないけど・・・
ミヨシ ポケットUSB-ACアダプタ ホワイト IPA-10...
ITプロジェクトの「見える化」 下流工程編 (SEC ...2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
