高木浩光＠自宅の日記 - WASF Times版「サニタイズ言うな！」

■ WASF Times版「サニタイズ言うな！」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ？ Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか？ 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの？プログラムの内容からして必要のないことなのに？ そう

[webmarksjp]

Web

[setamise]

"サニタイズ言うな"キャンペーン記事。非常に分かりやすい

[ymorimo]

わかりやすかった。

[zederbuch]

なるへそ。

[hisasann]

勉強になるな

[foursue]

生徒に説明するときに引用できるかも

[vine_hate]

[サニタイズ] [web]

[cooldaemon]

教育する時の参考に

[nilab]

高木浩光＠自宅の日記 - WASF Times版「サニタイズ言うな！」

[yokochie]

そりゃそうだ

[fashi]

HTMLタグの除去は入力時にまとめてやって安心してはいけないと。技術評論社「Web Site Expert」昨年9月発売号から。

[miya2000]

続きはwebで

[nyomonyomo]

安全なプログラムにするにはサニタイズではなくセキュリティの事をよく考えてプログラムを書く事が必要。値を利用する際に危険にならない処置をする。

[t_43z]

言われたらこれ見せよ。

[dnsystem]

すごい参考になる//オチ

[ogijun]

重要

[mhrs]

「コードの汎用性を常に意識して、仕様に忠実な実装で、メンテナンス性の高いエレガントな記述を実施していれば、本来いくつかの脆弱性は生じないはずのもの」http://bakera.jp/hatomaru.aspx/ebi/topic/2738の最後にも同樣の話が。

[rhosoi]

そういえば昔セキュリティ屋じゃねーけどプログラムしねー人に「サニタイズ」いわれて意味わからんかったこ

[wacky]

「サニタイズ言うなキャンペーン」の真意を分かりやすく説明。

[wata300]

「サニタイズ言うな」の説明。分かりやすい、か・も。

[nsta]

サニタイズ言うなキャンペーン

[iwaim]

オチがおもしろかった＞詳細は「サニタイズ言うな」で検索して熟知すべし。

[hasegawayosuke]

「入力をサニタイズ」なんて書くから「出力のサニタイズ」という発想がでてくるのかも知れないと思った。

[NOV1975]

以前の説明より更に分かりやすくなった。うちのところも出力で全部やっつけているな。最初からそういうポリシーがなかったらと思うとぞっとする。

[suVene]

「サニタイズ言うな」の分かりやすい説明。

[hiro_y]

「必要なところの直前にエスケープ処理を施すのが正しい」

[yupo5656]

プログラマの復権

[comzo]

サニタイズ言うな！サニタイズ言うな！サニタイズ言うな！

[pmakino]

今まで読んできた「サニタイズ言うな」の中で一番分かり易かった

[tsupo]

セキュリティ屋の言う「セキュリティのためのセキュリティ」に惑わされず、何が本来的に正しい書き方なのかを考えていきたい