僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog

ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方（以下、徳丸本）では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表（第一種ホワイトリスト） セキュリティ上安全と考えられる書式（第二種ホワイトリスト） アプリケーション仕様として許可された書式（第三種ホワイトリスト） 以下順に説明します。 許可されたものの一覧表（第一種ホワイトリスト） ホワイトリストというくらいですから、本来のホワイトリストは

[ockeghem]

日記書いた #wasbook

[MinazukiBakera]

このメールアドレスは使ってみたくなりますね。

[hide_o_55]

用語が一人歩きしてしまうのは、「サニタイズ」とかも一緒でしたね

[mangakoji]

なんというか、1)以外は通常使わないトンチに近いモノな気がします。それで言うなら、リストのひな形もホワイトリストですよね?

[ardarim]

ちょっとイマイチわかんねーです。シンタクティックにはホワイトリストの定義は一貫してると思う（許可するリスト）。セマンティックな分類ってこと？

[mkusunok]

規格をつくる際は周辺スタックの仕様を網羅的に検討できる訳ではないので、規格上OKだけどリスクを排除できないケースは結構あると

[xxxxxeeeee]

言われてみるとホワイトリストって「例外的にリストXに載っていればセキュアなりvalidなりとみなす」ってことよね

[natroun]

「ホワイトリスト」について。門外漢としては当然第１種を指すものと思っていた。この記事は４年近く前だから、今はまた事情が違いそう。

[pochi-p]

メールアドレスの例が面白い♪　流行りそうｗ / auはHTCにRFC違反メールの対応を迫ったけど、むしろ他の日本メーカーのメーラーが例示されたメールアドレスに対応出来てるかが心配だ…。

[banana-umai]

うーん、あまり意識せずに結構使ってたな。。"概念"的な言葉って便利だけど、その言葉の持つ曖昧さとかを使う人が理解していないと、誤解を招いちゃうのね〜。適切な注釈とか、説明は必要。[セキュリティ]

[nitoyon]

単に「ホワイトリスト」といっても色々なケースを指すことがある、という指摘。

[ticokuma]

これ面白いなあ。RFCってもう5,000番台まで行ってるのね。自分の中では、いまだに822とか1468で止まってるわ…

[mumincacao]

めあどの整合性確認と SQL に流すときの確認をごっちゃにしちゃうのは htmlspecialchars() かけてるから SQL に流しこんでも大丈夫っていうのと変わんないよね・・・ （・ｘ【みかん

[potato777]

「’or’1’=’1’#@tokumaru.orgこのメールアドレスはメールのRFCに準拠しているだけでなく、実際に送受信が可能であることを確認しました。.」

[msakamoto-sf]

"ホワイトリスト"用語の定義

[hidehish]

見てる:

[HF_frt1623]

ホワイトリストについて詳しく説明されている

[yachimon]

メールアドレスこわい

[delico69]

ホワイトリストも三分類にわけられる。

[katzchang]

あとで。

[escape_artist]

徳丸先生の記事きたこれ

[labunix]

僕が「ホワイトリスト」を採用しなかった訳 - ockeghem(徳丸浩)の日記

[setamise]

『「ホワイトリスト」という用語は曖昧。「許可する拡張子の一覧」（第一種）とか、「英数字に限定する」（第二種）、「アプリケーション仕様に従ってバリデーションする」（第三種）等と明確に表現したい』

[t-tanaka]

「アプリケーションの仕様にしたがった入力」でも「セキュリティ上問題となる入力」はおこりえる。

[mattn]

ちゃんとprepared statement使ってれば問題ないだろうし、それでもセキュリティリスクのある言語(DBI)は死んだらいいじゃなかろうか

[TAKESAKO]

RFC5322に適合したメールアドレスの中には、SQLインジェクション攻撃が可能なアドレスがあり得ます→例：'or'1'='1'#@…

[gfx]

"「ホワイトリストならば安全」というのは神話に過ぎず、正しい表現のためにはホワイトリストの指す内容と、安全である根拠を明確に示す必要があります"

[canadie]

「何に対してホワイトか」ということを意識して使う必要があります。最後の例で見たように、RFC5322に対してホワイトなメールアドレスが、SQLインジェクションに対してもホワイトであるとは限りません。

[mongrelP]

そのメールアドレス新しいRFCで駄目にするよう働きかけるべきじゃね？とか思った（ぉ

[raimon49]

安全か危険かはコンテキストに沿って変わるという話。RFCに準拠したメールアドレスの例が興味深い。

[fukken]

"「'or'1'='1'#@tokumaru.org」このメールアドレスはメールのRFCに準拠しているだけでなく、実際に送受信が可能であることを確認しました" シングルクォートとかシャープとか使えるのか、意外。

[yocchan731]

ほうほう．ふむふむ．

[noonworks]

目からウロコ！ "「何に対してホワイトか」ということを意識" "データが「安全」か「危険」かは、データが使用される文脈で変わる"