• はてなブックマーク
  • 暮らし
  • ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
  • Twitterでシェア
  • Facebookでシェア

ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

暮らし カテゴリーの変更を依頼 記事元:techblog.yahoo.co.jp
適切な情報に変更
504users がブックマーク コメント 59
    共有

    • 記事へのコメント59

    • 注目コメント
    • 新着コメント
    その他
    nihen
    セキュリティ対策とアプリケーション要件をごっちゃにしている。実装上それで問題ないのかもしれないが説明としては不適切 / プリペアドステートメントでXSS対策にならないてなんのこっちゃ

    その他
    ockeghem
    『入力されるものは、何も信じてはいけません』<入力がアプリケーション要件を満たしている限りは、お客様の意図した通りに処理する。セキュリティとは関係ない

    その他
    fukken
    御託はいいので、知恵袋にコードを貼り付けようとするとインデントが消滅するとか場合によってはタグが消滅するとかいう不具合を何とかして下さい

    その他
    hide_o_55
    「チェック」という言葉にいろいろ詰め込みすぎてない?

    その他
    akitsukada
    併せて読みたい => http://bit.ly/hyVB7i http://bit.ly/hBYFXp http://bit.ly/dMTJCC http://bit.ly/fhgBZi@ockeghem氏)

    その他
    cubed-l
    セキュリティ要件にだけ絞って書いたらどうか

    その他
    mi1kman
    ヤフーの「R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリスト」でコレ。本当に害悪なので他所に広めないで欲しい。「何も信じない」と心の中、ヤフーの中だけで思ってて欲しい。

    その他
    yocchi24
    セキュリティはキッチリやろうとすればするほど工数が嵩むが、お客様にそれは判らない。高セキュリティであることの証明もしづらい。そして採用面接をしていると、セキュリティの知識が低いエンジニアは意外と多い。

    その他
    MinazukiBakera
    えっ……。

    その他
    rryu
    こういうまったりとダメなものはダメ出ししずらい……

    その他
    rna
    CSRFってここで言うような「入力チェック」で防げるか?

    その他
    kuracom
    旧URLの時のブコメ→ http://b.hatena.ne.jp/entry/techblog.yahoo.co.jp/cat207/security/post_40/

    その他
    towaduki
    入力チェック

    その他
    meganii
    バリデーションについて

    その他
    aoe-tk
    大切な基本が良くまとまっている

    その他
    glat_design
    データのバリデーションに万全を期せよ、という話

    その他
    tayutaedomo
    システム開発で日頃気を付けている事とは言え、自分の理解を見直すよい機会を与えてもらえた記事でした。

    その他
    gogoco
    メモ

    その他
    plasticscafe
    なるほど(`・ω・´)

    その他
    yosuke13
    ホワイトボックス・ブラックボックス

    その他
    ether70
    ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

    その他
    manji6
    これは重要だ。

    その他
    XIAORING
    input validation yahoo

    その他
    ippai_attena
    「入力されるものは、何も信じてはいけません。あなたの開発するシステムは、あなた以外が守ることはできません。すべてに対して憶病になり、疑いを持ち、あらゆるものを心配してください。」

    その他
    ghostbass
    後で

    その他
    kamei_rio
    __〆のヮの<何も信じるな!

    その他
    Barak
    Yahoo! JAPANはアルファ・コンプレックスだったのでs(ZAPZAPZAP/(マジレスすると、Paranoid Securityなんだから、このくらいは「ふつー」)

    その他
    rti7743
    これらが正しくされているかのチェックに利用しているツールを知りたいな。parosのような辞書ベースの攻撃とか静的解析みたいなソースコードサイドからの確認もしてんのかなー

    その他
    bugcloud
    最初の一文で読みたくなくなった

    その他
    stealthinu
    Yahooではどのように入力のバリデーションをしているか。デコード後もチェック。基本、ホワイトリスト方式。リダイレクト先の確認。などなど、チェックすべき点が網羅されてる。これは勉強になる。

    その他
    sasahira
    これはひどい

    その他
    lanius
    入力検証のチェックリスト。

    その他
    kobamix
    バリデーション

    その他
    waribashi
    インプットバリデーション「何も信じるな」

    その他
    nyop
    これ好き。

    その他
    mi1kman
    mi1kman ヤフーの「R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリスト」でコレ。本当に害悪なので他所に広めないで欲しい。「何も信じない」と心の中、ヤフーの中だけで思ってて欲しい。

    2011/03/24 リンク

    その他
    SasakiTakahiro
    入力されるものは、何も信じてはいけません。

    その他
    ktakeda47
    "ヤフーにおけるインプットバリデーション「何も信じるな」"

    その他
    syanbi
    Webサービスを表に出して利用できるってことは、コート一枚で中身は全裸で街を歩いてるのと同じだしな。カッターでコートを引き裂かれたらお縄になっちまう

    その他
    akitsukada
    akitsukada 併せて読みたい => http://bit.ly/hyVB7i http://bit.ly/hBYFXp http://bit.ly/dMTJCC http://bit.ly/fhgBZi@ockeghem氏)

    2011/03/24 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.