Ads by Google
ホワイトリストとブラックリスト
最近、自分専用Webアプリケーションをちょこちょこと作っているため、(近いうちにライブラリ的なものを公開できるレベルに達すればいいのですが…)Webアプリケーションのセキュリティ問題は他人事ではなくなってしまいました。
というわけで、時間のある時には多少関連したブログ等をチェックするようになったのですが、こんな議論を見つけました。
・プログラミングではホワイトリスティングが基本ではない
・プログラミングではホワイトリスティングが基本
元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。
一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。
どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど…
(その際にどの程度のチェックとエスケープをするか、追加としてWAFをどう活用するかについては多少差異があるようにも思えましたが、WAFは簡易的なものでいいという部分でも一致していますし。)
ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を受けるので、それでお互いに誤解してるのかな、とも思いました。
ちなみに『ホワイトリスト』という言葉の意味としては、私の感覚では徳丸さんの使い方が自然のような気がします。
セキュリティの素人が専門家同士の対決に横槍を入れるのは大変恐縮なんですが、できれば大目に見ていただいて、私の解釈こそが間違ってないか指摘してもらえたら幸いです。
<<続・ホワイトリストとブラックリスト | ホーム | WASForum Conference 2008>>
というわけで、時間のある時には多少関連したブログ等をチェックするようになったのですが、こんな議論を見つけました。
・プログラミングではホワイトリスティングが基本ではない
・プログラミングではホワイトリスティングが基本
元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。
一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。
どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど…
(その際にどの程度のチェックとエスケープをするか、追加としてWAFをどう活用するかについては多少差異があるようにも思えましたが、WAFは簡易的なものでいいという部分でも一致していますし。)
ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を受けるので、それでお互いに誤解してるのかな、とも思いました。
ちなみに『ホワイトリスト』という言葉の意味としては、私の感覚では徳丸さんの使い方が自然のような気がします。
セキュリティの素人が専門家同士の対決に横槍を入れるのは大変恐縮なんですが、できれば大目に見ていただいて、私の解釈こそが間違ってないか指摘してもらえたら幸いです。
コメント
コメントの投稿
トラックバック
XSSк?Ĥ???褦
XSSк?Ĥ??????????Ū??????
- 2008/08/23(土) 01:02:20 |
- ?
続・ホワイトリストとブラックリスト
早速、大垣さんと徳丸さんから前回のエントリに対するフォローをいただきました。
・ホワイトリストとブラックリスト - Proactiveセキュリテ...
- 2008/08/26(火) 18:41:52 |
- 妄想プログラミング道
