共有
  • 記事へのコメント44

    • 注目コメント
    • 新着コメント
    その他
    you21979
    you21979 外からくるデータのバリデーションはフレームワークの使ってもいいし定義ファイルから自動生成でもいいけど自動化しとかないと後がツライで。

    2015/02/09 リンク

    その他
    ono_matope
    ono_matope セキュリティ対策言うなキャンペーンだ

    2015/02/09 リンク

    その他
    Jxck
    Jxck そう、これにつきるんだよなぁと最近エラー処理を再考してて再認識した。

    2015/02/09 リンク

    その他
    iakio
    iakio 脆弱性対策って、"ほとんどの場合においてこうである"と言われてもあまり意味がないと思う

    2015/02/06 リンク

    その他
    metamix
    metamix 自分の中ではインジェクション対策みたいなのもバリデーションの範疇だったので最初はこんがらがってしまったが、表層的な入力値検証のことか

    2015/02/05 リンク

    その他
    Nagatani
    Nagatani “そういった脆弱性と呼ばれるほとんどのものはただのバグだ”, “セキュリティ対策など考えなくていいので今すぐテストを書け”

    2015/02/05 リンク

    その他
    yuyakko
    yuyakko 脆弱性となるバグは他のバグに比べて深刻な被害をもたらすので、特別に追加の対策を講じましょう

    2015/02/05 リンク

    その他
    new3
    new3 バリデーションとベリフィケーションは違う、というおはなし

    2015/02/05 リンク

    その他
    spacefrontier
    spacefrontier しかり。/ ただ、購入したコードが95%を占めていたりすると厄介。lib等のバイナリ購入の場合も。多くの場合購入元に試験成績書を出してもらうか実機テストするしかない。GPL汚染の場合自動チェックツールがあるけどね。

    2015/02/05 リンク

    その他
    y-kawaz
    y-kawaz 分かる

    2015/02/05 リンク

    その他
    rindenlab
    rindenlab "そういった脆弱性と呼ばれるほとんどのものはただのバグだ"

    2015/02/05 リンク

    その他
    ghostbass
    ghostbass アプリケーション仕様として「セキュリティ対策のためn文字まで許可」とかはあって良くて、その上でバリデーションが存在するのも良くて、で終わり。別にバリデーションやりません、とかあんまり聞かない。

    2015/02/05 リンク

    その他
    hhungry
    hhungry ただのバグといったら「動けばええやん」で済まされてしまうんじゃない?セキュリティリスクを考えることが重要でしょ。

    2015/02/05 リンク

    その他
    lets_skeptic
    lets_skeptic 入力バリデーションのみの話なのかな。パスワードのハッシュ化とか、ストレッチングとかの類はこの話の対象外?

    2015/02/05 リンク

    その他
    rryu
    rryu まあアプリケーション開発においては「セキュリティ対策」より「セキュアな設計」を心がける方が良いと思う。

    2015/02/05 リンク

    その他
    suna_kago
    suna_kago ふーん。

    2015/02/05 リンク

    その他
    rna
    rna その正論を淡々と実行できるプログラマは少数派で、くだらないバグは世界中で毎日産まれてて、そんなバグの中でもせめてヤバいやつには気を遣おう、てのがその手の「セキュリティ対策」というかけ声なんだと思う。

    2015/02/05 リンク

    その他
    anoncom
    anoncom セキュリティ対策云々言ってるけど、それって結局ただのバグ(仕様バグ含む)だよね?という話。

    2015/02/05 リンク

    その他
    kogawam
    kogawam 概ねそうですね。例えばCSRF対策はアプリの挙動として定義。TBで指摘の入力値チェックも仕様として定義されるべき。ただコーディング上でも、最小権限とか重要データのメモリ上の取り扱いとか、あると言えばあるかな。

    2015/02/05 リンク

    その他
    yohgaki
    yohgaki まさか、これに同意するセキュリティ専門家はいないですよね?

    2015/02/05 リンク

    その他
    hugie
    hugie こういう「言わなくてもわかるだろ、わかれ」的な言動がまかり通ると同時に「わかってない人」のコードもあふれるので、理解してる人もちゃんと説明することが必要。

    2015/02/05 リンク

    その他
    pcnikki
    pcnikki テストを書けばすべて安全と言うのはあくまで理想であって、経験豊かな人はいいんだけど、不安を覚える人には何がセキュリティホールのポイントか認識させておかないと漏れが出てくると思う。

    2015/02/05 リンク

    その他
    shikiarai
    shikiarai 世間が言うセキュリティ対策はただの正しく動かすためのプログラミングに過ぎないと言ってるだけのような……

    2015/02/05 リンク

    その他
    nabe1121sir
    nabe1121sir XSSやSQLインジェクション、あるいはバッファオーバーランについてはバグに違いないけど、CSRFは考慮モレだと思う。いずれにせよ、これらを最重要項目としてテストするために、セキュリティというのは問題ないんじゃ?

    2015/02/05 リンク

    その他
    shigeo-t
    shigeo-t そうだよな

    2015/02/05 リンク

    その他
    trashtoy
    trashtoy 徳丸さんのおっしゃる通り http://www.slideshare.net/ockeghem/validation-night-44126950

    2015/02/05 リンク

    その他
    deep_one
    deep_one いまいち。例えばドメイン名に関するヴァリデーションとかは「プログラムが正しく動く」ためには特に必要がないことが多いわけだが。そのまま渡してもプログラムが正しく動いてエラーを返すからな。本来なら、だが。

    2015/02/05 リンク

    その他
    peketamin
    peketamin "セキュリティ対策など考えなくていいので今すぐテストを書け"

    2015/02/05 リンク

    その他
    megazalrock
    megazalrock これらのバグは被害がでかいから「セキュリティ対策」の枠組みに入れるくらい優先してやろうぜって話じゃないの。/コンサルとかがセキュリティ対策にバリデーションしろとか言ってきたらアレだけど。

    2015/02/05 リンク

    その他
    cubed-l
    cubed-l 実装が原因の脆弱性についてはそうなるよね/CSRFなどは設計が原因なので設計時点で。

    2015/02/05 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    「セキュリティ対策」

    「不正な入力に対して脆弱性を発生させないようセキュリティ対策としてバリデーションを行う」。アホか...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事