第28回 あまり語られないセキュリティの基本 ── トラストバウンダリ | gihyo.jp

何事も基本が一番大切です。システム開発／コンピュータプログラミングも同じく基本が大切です。基本を守らないシステム設計やコーディングは問題発生の原因となる可能性が高いことは経験上理解できると思います。 セキュリティ対策の基本も非常に大切ですが、何故か基本はあまり語られていません。今回は安全性確保の基本中の基本を紹介したいと思います。 あまり語られない核心 正しいセキュリティ対策を行うには、セキュリティ問題の原因を理解する必要があります。 セキュリティ対策の記事などでは個々のセキュリティ問題に対する具体的な原因と対策が紹介されていることが多いです。私のブログも含め個人ブログなどでは「こういう場合はこうする」といった簡単な対処例が紹介されることが多いです。例えば、「⁠SQLインジェクション対策にはプリペアードクエリだけを使えば大丈夫」などです。 読者の方もセキュリティ対策はどうすればよいのか、具

[ockeghem]

こんなものはセキュリティの基本でも何でもない。入口の検査はアプリケーション要件に合致するかを検査するもので「安全」かどうかは無関係。そして受理したデータは正しく処理する。原理はそれだけ

[rryu]

トラストバウンダリの中に信頼できないデータがあるって、外側のトラストバウンダリは一体何をやっているんでしょう。

[MinazukiBakera]

@ockeghemさんが後で書くかも。

[mumincacao]

入力ちぇっくと出力えすけーぷは別物なのに昨日も入り口で htmlspecialchars() かけてそのまま SQL に埋め込んでるこ～ど見たばっかりなのです（´・ω【みかん

[masa_matya]

入力チェック： 正しいデータであるか十分チェックする。 出力チェック： 出力先で誤作動なく処理できる出力であることを保証する。アプリ開発だけでなくシステム管理でもこの考え方は必要