Ads by Google
続・ホワイトリストとブラックリスト
早速、大垣さんと徳丸さんから前回のエントリに対するフォローをいただきました。
・ホワイトリストとブラックリスト - Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策
・今こそXSS対策についてまとめよう
お二人ともお忙しい中ありがとうございます。
私の感じていた疑問については徳丸さんが冒頭ですっきりと解決して下さいました。
ワイルドカードや正規表現を使用したブラック(ホワイト)リスト作成については別件で色々と考えている事があるので、それはまた別の機会に。
それにしても、本当にセキュリティを意識したWebアプリケーションの作成は面倒ですね。
『個人的に使っているものだから…』という理由で手を抜く事が許されないのがつくづく厄介です。
どこにもURLをリンクしていなくても、アクセス制御してなければ公開状態のわけで、つまり攻撃対象になってしまう可能性があるのですから。
まぁ、単にそれだけの用途ならBasic(Digest)認証しておけば十分という話かもしれませんけど。
ただこれだけあちこちで被害が発生している状況を考えたら、最低限の必須事項としてセキュリティへの配慮はやらなければならない事に含まれていくのは仕方ないと思いますので、せめてそれが簡単にできるようにしたいものです。
そのためにもプログラミング言語の標準機能(標準モジュール・標準ライブラリ)レベルでもっと楽な方法を提供して欲しいと思うのは贅沢でしょうか。
そして妄想は膨らんでいく…
<<Cは決して難しくない | ホーム | ホワイトリストとブラックリスト>>
・ホワイトリストとブラックリスト - Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策
・今こそXSS対策についてまとめよう
お二人ともお忙しい中ありがとうございます。
私の感じていた疑問については徳丸さんが冒頭ですっきりと解決して下さいました。
ワイルドカードや正規表現を使用したブラック(ホワイト)リスト作成については別件で色々と考えている事があるので、それはまた別の機会に。
それにしても、本当にセキュリティを意識したWebアプリケーションの作成は面倒ですね。
『個人的に使っているものだから…』という理由で手を抜く事が許されないのがつくづく厄介です。
どこにもURLをリンクしていなくても、アクセス制御してなければ公開状態のわけで、つまり攻撃対象になってしまう可能性があるのですから。
まぁ、単にそれだけの用途ならBasic(Digest)認証しておけば十分という話かもしれませんけど。
ただこれだけあちこちで被害が発生している状況を考えたら、最低限の必須事項としてセキュリティへの配慮はやらなければならない事に含まれていくのは仕方ないと思いますので、せめてそれが簡単にできるようにしたいものです。
そのためにもプログラミング言語の標準機能(標準モジュール・標準ライブラリ)レベルでもっと楽な方法を提供して欲しいと思うのは贅沢でしょうか。
そして妄想は膨らんでいく…
