ウェブアプリケーションにおいて「ホワイトリスト」と"White List"は用法が異なる

海外（主に米国）のウェブアプリケーションセキュリティのドキュメントを読むと、"white list input validation" という言い方がたびたび出てきます。たとえば、OWASPのSQL Injection Prevention Cheat Sheetには、まさにWhite List Input Validationという節があります。 3.2 White List Input Validation Input validation can be used to detect unauthorized input before it is passed to the SQL query. For more information please see the Input Validation Cheat Sheet. 【私訳】 3.2 ホワイトリスト入力値検証 SQLクエリに渡

[amd64x64]

文脈で意味合いが違うだけの、すごく当たり前の事のように思う。一般用語なのに外来語だからって勝手に意味を狭めたらダメでしょ。入力時のバリデータが必ずしもSQL的に安全なバリデータとは限らないのは当然で。

[deep_one]

用語の定義が違うのは危険だよね…

[tmtms]

よくわからん。「許可された入力値をリストとして列挙したもの」と「アプリケーションの入力値に対する仕様」は結局は同じことなんじゃないかなぁ。

[aiko876roll]

とすると、日本での「ホワイトリスト」はあっちではなんと呼ばれてるんだろう。

[chronosfm]

ウェブアプリケーションにおいて「ホワイトリスト」と"White List"は用法が異なる | 徳丸浩の日記

[rryu]

WAFのホワイトリストもパターンマッチ等を含むはずだからその辺から意味が拡大していってホワイトリストの作り方からアプリ仕様に基づくポジティブチェックみたいな感じになっている気がする。

[itochan]

よくわからん。　とりあえず外国の人に white list について聞いてみてはどうか（アンケートも含む）　／　ブラックボックスとしてのホワイトリスト　という単語を思い付いた（使い道なさそう）

[yyamano]

ホワイト == 安全は違和感ある。文脈依存じゃないのだろうか。

[reachout]

英語圏のエンジニアはWhite listをどのように認識しているのかも気になるな。

[Skyrocket]

ウェブアプリケーションにおいて「ホワイトリスト」と"White List"は用法が異なる | 徳丸浩の日記

[mumincacao]

『許可された入力値を列挙したもの』だけど『安全かどうかは使う場所による』派かなぁ？ しすてむにとって正常な入力であってもＤＢやぶらうざから見たらまた別のお話と思うのです（・ｘ【みかん

[kabukawa]

white listの定義は「アプリケーションが許可した入力値」、もっと言えば「アプリケーションの入力値に対する仕様」、と。ホワイト≠安全ではない、と言われると、そう言われればそうなのかも、という感じはする。

[teppeis]

ホワイトリスト=リテラルで表現された許可リスト、ではなく正規表現等のロジックを含むものを意味している場合もある、ということか。

[houyhnhm]

うーん。英語圏とニュアンスが違う、のか、検証ロジック「も」インジェクション対象にされる可能性があるから、なのか？

[Jxck]

ん？？ "ホワイト" は安全/危険とは別の意味で使ってるし、それは OWASP と同じだと思うし、その意味でアンケートでは 1 (3 との違いがわからなかった) を選んだけど、それは徳丸先生の語感と違うように読める気がする。

[sho]

気をつけよう。