• はてなブックマーク
  • テクノロジー
  • なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場
  • Twitterでシェア
  • Facebookでシェア

なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

テクノロジー カテゴリーの変更を依頼 記事元:kazuhooku.hatenadiary.org
適切な情報に変更
149 usersがブックマーク コメント29

    記事へのコメント29

    • 注目コメント
    • 新着コメント
    オーナーコメントを固定しています
    kazuhooku
    オーナー kazuhooku .@mattn_jp ブログに書きました

    2013/03/23 リンク

    その他
    atsushifx
    atsushifx JavaScriptは実質、外部コードの呼び出しができるとおもうのでセキュリティホールがありそう。ライブラリ以外ではOAtuh認証やWebAPIも一緒。こういった外部のリソースの信頼性をどのように保証するかがこれからの課題なんだ

    2013/03/23 リンク

    その他
    at_yasu
    at_yasu DNSの改ざんは十分ありえる、githubがメンテならどうするよ、とかかなぁ… / github を直で読むぐらいなら、submoduleを使ったらいいんじゃないかな、とは思います。

    2013/03/23 リンク

    その他
    knjname
    knjname 多くのサイトとかjQueryとかCDNから引っ張ってきてる。クライアントサイドという違いはあるけれど。

    2013/03/23 リンク

    その他
    escape_artist
    escape_artist PHPのallow_url_includeやallow_url_fopenはoffにしましょう。

    2013/03/24 リンク

    その他
    Haaaa_N
    Haaaa_N セキュリティホールとか以前にオフライン環境で動かないから不便

    2013/03/24 リンク

    その他
    nanakoso
    nanakoso 動的結合をネット越しにやるのは改竄の可能性があるのでセキュリティーホール

    2013/03/24 リンク

    その他
    オーナーコメントを固定しています
    kazuhooku
    オーナー kazuhooku .@mattn_jp ブログに書きました

    2013/03/23 リンク

    その他
    nilab
    nilab なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

    2013/12/26 リンク

    その他
    tanakaBox
    tanakaBox 正しい反論。

    2013/03/29 リンク

    その他
    rokujyouhitoma
    rokujyouhitoma 証明の見本記事だな。これは。なるほどわかりやすい。イントラネットのライブラリをhttpで取ってきたりって運用ならつかえそうですね。

    2013/03/27 リンク

    その他
    k-holy
    k-holy サーバーサイドで動的に外部URLからソースを読み込む場合は証明の仕組みが必須ということか。composer installを自動でやっちゃうとまずい…?

    2013/03/27 リンク

    その他
    rryu
    rryu githubからダウンロードしてビルドするのを自動でやっているだけなので脆弱性ではないと思うけど、ビルドする度に最新版にアップデートされるとビルドが安定しない点が微妙なのだと思う。

    2013/03/26 リンク

    その他
    katzchang
    katzchang mavenの依存性解決と同じレベル感。

    2013/03/26 リンク

    その他
    Lhankor_Mhy
    Lhankor_Mhy つまり本当はCDNとかセキュリティホールなのか。最近、jQueryとかライブラリをローカルに置かないクセがついちゃって。

    2013/03/26 リンク

    その他
    a_damitu
    a_damitu なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

    2013/03/26 リンク

    その他
    matsumoto_r
    matsumoto_r すごい同意だけど、今後どうなっていくんだろうなぁ

    2013/03/25 リンク

    その他
    invent
    invent なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

    2013/03/24 リンク

    その他
    paulownia
    paulownia コンパイル言語でも、コンパイル時にプログラムの内容が確定しない言語なら同様の問題がありますね。Javaとか

    2013/03/24 リンク

    その他
    udzura
    udzura cf. curlで持ってきたソースをパイプでbashに渡すようなインストール手順

    2013/03/24 リンク

    その他
    rti7743
    rti7743 コンパイル型でもソースコードダウンロードしてきて手元でビルドした時に結果がかわってるかもしれないから、気持ち悪いところあるなー

    2013/03/24 リンク

    その他
    shiwork
    shiwork なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

    2013/03/24 リンク

    その他
    manaten
    manaten http://...でrequireだのscriptタグに埋めるだのするのはそのコードを書いた人間の責任。最終的にユーザがその被害を被るような結果にならないよう、十分思慮して選択しなければならない。

    2013/03/24 リンク

    その他
    nanakoso
    nanakoso 動的結合をネット越しにやるのは改竄の可能性があるのでセキュリティーホール

    2013/03/24 リンク

    その他
    takkaw
    takkaw なるほど

    2013/03/24 リンク

    その他
    tmatsuu
    tmatsuu gentooユーザはスクリプト言語のようにコンパイルして実行するし、gentooユーザじゃなくてもソースから入れる人もいる。脆弱性というより単純に危険という認識。

    2013/03/24 リンク

    その他
    kijtra
    kijtra 「GitHubは圧縮とかされてなくて重いから直接インポートするな。そんなことやっていいなんてGitHubのどこにも書いてない。」って海外記事見てからGitHub直やめたw

    2013/03/24 リンク

    その他
    chezou
    chezou そう考えると、bundlerでライブラリを導入した人が信頼されるのか。開発者は意図をわかるけど、運用者はそれを確認した方がいいんだろうな。

    2013/03/24 リンク

    その他
    fclout
    fclout なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場 -

    2013/03/24 リンク

    その他
    takc923
    takc923 要はコンパイル言語はコンパイル時に一回require(import)先と通信するだけだけど、スクリプト言語は実行ごとに通信するので、通信先の改ざん等で攻撃が可能である、というお話。

    2013/03/24 リンク

    その他
    escape_artist
    escape_artist PHPのallow_url_includeやallow_url_fopenはoffにしましょう。

    2013/03/24 リンク

    その他
    Haaaa_N
    Haaaa_N セキュリティホールとか以前にオフライン環境で動かないから不便

    2013/03/24 リンク

    その他
    at_yasu
    at_yasu DNSの改ざんは十分ありえる、githubがメンテならどうするよ、とかかなぁ… / github を直で読むぐらいなら、submoduleを使ったらいいんじゃないかな、とは思います。

    2013/03/23 リンク

    その他
    knjname
    knjname 多くのサイトとかjQueryとかCDNから引っ張ってきてる。クライアントサイドという違いはあるけれど。

    2013/03/23 リンク

    その他
    atsushifx
    atsushifx JavaScriptは実質、外部コードの呼び出しができるとおもうのでセキュリティホールがありそう。ライブラリ以外ではOAtuh認証やWebAPIも一緒。こういった外部のリソースの信頼性をどのように保証するかがこれからの課題なんだ

    2013/03/23 リンク

    その他
    raimon49
    raimon49 信頼する対象の違い

    2013/03/23 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

    go言語なんか import "http://github.com/mattn/xxx " だったりする。rubyもそういうの面白いかもしれな...

    ブックマークしたユーザー

    • sh199107112014/08/12 sh19910711
    • nilab2013/12/26 nilab
    • potato7772013/10/01 potato777
    • zanasta2013/10/01 zanasta
    • yowcow2013/08/24 yowcow
    • goinger2013/05/08 goinger
    • tanakaBox2013/03/29 tanakaBox
    • shirokurostone2013/03/28 shirokurostone
    • Caihua2013/03/27 Caihua
    • rokujyouhitoma2013/03/27 rokujyouhitoma
    • k-holy2013/03/27 k-holy
    • rryu2013/03/26 rryu
    • katzchang2013/03/26 katzchang
    • Lhankor_Mhy2013/03/26 Lhankor_Mhy
    • a_damitu2013/03/26 a_damitu
    • snaka722013/03/25 snaka72
    • o_hiroyuki2013/03/25 o_hiroyuki
    • somathor2013/03/25 somathor
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.