安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記

テクノロジーカテゴリーの変更を依頼記事元:

bakera.jp

63 usersがブックマークコメント

安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記

例えば，Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「デ... 例えば，Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合，入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存

ghostbass たしかsymfonyはデフォルトで「すべてエスケープ」だった気がする。Zend_Viewはescapeヘルパーを使う。cakeは？

2011/12/11 リンク

k-holy デフォルトでエスケープするからOKというのも違うのでは。出力箇所によって必要な処理は異なるわけだし。Railsのテンプレートシステムは文脈まで読み取って自動エスケープしてくれるんでしょうか？

security

2011/12/12 リンク

masakielastic2 セキュリティはコミュニティ運営の課題でもあります。Symfony2 の場合、コミュニティから集めた6000ユーロ(60~70万円)をSuhosinの開発元に支払い、セキュリティの検査を受けています。http://symfony.com/blog/symfony2-security-audit