ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
グッドラッパーって何? | 水無月ばけらのえび日記
セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。 ……。 ……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。 結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。 理解できなかったところをいくつかメモしておきます。 そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー(グッドラッパー)は既にいくつも存在している。以下にいくつか例を示す。 ・SQLインジェクションに対してバインドメカニズムを使用
バッドノウハウからグッドラッパーへ
「有用なものを生み出すけれど複雑怪奇になっているシステム」を見つけたときには、 「バッドノウハウだ」と批判するだけではなく、 バッドノウハウを隠す「グッドラッパー」を作ることを考えよう、というお話。 目次 はじめに 有益なものを生み出さなければ「奥が深い」とも呼ばれない バッドノウハウをグッドラッパーで隠そう 本当によくないシステムとは よびかけ 補足:Perlとバッドノウハウ いろんな方からのコメント 反応リンク 関連リンク 更新履歴 ぜひ、感想をお送りください はじめに 高林哲さんは『バッドノウハウと「奥が深い症候群」』というページで、 「奥が深い症候群」や「バッドノウハウをありがたがることの危険性」について書いています。 これはもっともな指摘なので、それを受けてもう一歩進んだ話を書いてみましょう。 有益なものを生み出さなければ「奥が深い」とも呼ばれない もしも「奥が深い」システムが何
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
