はてなブックマーク - 大垣本を読んで「バリデーションはセキュリティ対策」について検討した

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

d:id:ockeghem

タグ : セキュリティ security PHP validation web バリデーション review プログラミング IT book

コンピュータ・IT 131 users

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション」を受けてのことだと思います。id:ajiyoshiさんのエントリでは、「妥当性検証は仕様の... > このページを見る

最終更新時間: 2011年12月26日07時19分

▼ブログで紹介する

このエントリーに含まれている商品

Webアプリセキュリティ対策入門 ~あなたのサイトは大丈夫?
大垣靖男
定価: ￥ 3,129
(2011/09/01 04:47 時点) 価格表示について
価格は、記載された日付／時刻の時点において正確です。価格は変更される場合があります。購入時にAmazonウェブサイトに表示されている価格が、その商品の販売に適用されます。
- 出版社/メーカー:技術評論社(単行本)
- 発売日:2006/03/16
- Amazon.co.jp 商品ランキング:504,581 位

みんなのブックマーク人気（6）新着

k-holy
「仕様外の入力」のうち通常のブラウザ操作で入力可能かどうかで、アプリケーションが何を返すべきかは変わるだろうし、そこに触れずに「バリデーション」と一括りにするから誤解が生じるのではと思いました 2011/12/26
ikemo33 コメント
自分のところだと、仕様外の入力程度で管理者にアラートが飛ぶようになってたらそれは「バグ」扱いですね。 2011/12/26
tt4cs Security, Web
冷静な論述ですね。噛み合わない議論をTwitter上で眺めるのに時間をつぶすよりは、こういうのを読んで理解するのがずっといいと思います。 2011/12/26
fukken
セッション破棄するとか恐ろしいセキュリティ。きっと核ミサイルの発射スイッチのwebインターフェースとかなんだろう　//　少々のコードのミスは仕方ないが、セキュリティの本に簡単すぎるミスがあると信頼度が… 2011/12/26
JULY セキュリティ, プログラミング
ここに書いている事が理解出来ない人は、Web アプリケーションを作るのはやめましょう、と言いたいぐらいに良文。 2011/12/28
yamamucho PHP, セキュリティ
間違ったサンプルコードを載せてしまうのはある程度は仕方ないと思う。ただ、それが原因で時間を無駄に消費してしまう人は少なからずいると思う。確認重要。 2011/12/26

Jxck security, 考え方
この「基準は何で、何をするか」という考えは、ようするに「本質を捉える」ってことにつながると思う。どんな場面でも大事だよなぁ。 2012/01/20
todesking
SIerっぽい考え方だと思った(偏見) 2012/01/17
tesserac これはいたい
よくこれで脆弱性診断とかできるな 2012/01/09
tosebro セキュリティ, web, プログラミング
「これからは大垣流バリデーションのことを、『パリデーション』と呼ぼう」というエントリかと思った。 2011/12/30
kits security, argument
「本来セキュリティ目的でするものではない」「セキュリティ上の効果はある」 / 「プログラムを書いたら必ずテストしよう」 2011/12/28
JULY セキュリティ, プログラミング
ここに書いている事が理解出来ない人は、Web アプリケーションを作るのはやめましょう、と言いたいぐらいに良文。 2011/12/28
security_check news, web
大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記 2011/12/27
umiyosh
Sent from my iPhone 2011/12/26
tt4cs Security, Web
冷静な論述ですね。噛み合わない議論をTwitter上で眺めるのに時間をつぶすよりは、こういうのを読んで理解するのがずっといいと思います。 2011/12/26
cubed-l セキュリティ
「基準は何で、何をするか」これ以上の関心はないな 2011/12/26
mikage014 セキュリティ
なっとく／"プログラムを書いたら必ずテストしよう" "トリッキーな書き方は脆弱性の元なので平明な書き方にしよう" 2011/12/26
k-holy
「仕様外の入力」のうち通常のブラウザ操作で入力可能かどうかで、アプリケーションが何を返すべきかは変わるだろうし、そこに触れずに「バリデーション」と一括りにするから誤解が生じるのではと思いました 2011/12/26
rti7743
そろそろwikipedia にバリデーションの記事作って欲しい 2011/12/26
ikemo33 コメント
自分のところだと、仕様外の入力程度で管理者にアラートが飛ぶようになってたらそれは「バグ」扱いですね。 2011/12/26
wasai セキュリティ, バリデーション
徳丸さんの記事なので熟読しておく 2011/12/261 RT

1 RT
yamamucho PHP, セキュリティ
間違ったサンプルコードを載せてしまうのはある程度は仕方ないと思う。ただ、それが原因で時間を無駄に消費してしまう人は少なからずいると思う。確認重要。 2011/12/26
fukken
セッション破棄するとか恐ろしいセキュリティ。きっと核ミサイルの発射スイッチのwebインターフェースとかなんだろう　//　少々のコードのミスは仕方ないが、セキュリティの本に簡単すぎるミスがあると信頼度が… 2011/12/26
kogawam
当たり前のことをこうやって平易に説明するのは面倒で難しいことだと思う。／大垣氏はPHP「を」作る人であって、PHP「で」作る人ではないのかも、と時々思う。 2011/12/26
t-murachi セキュリティ, セキュリティ商法, bug, ネタ, PHP
サンプルコードをテストしない人って割と多い気もするけど、ここまで説得力を削ぐ bug 満載なのは流石に珍しいかも… (^_^; 2011/12/26
zorio
数値の範囲チェックも間違ってるようだが。 2011/12/26