2011年3月9日(水曜日)

レビュー内容が白日の下に

公開: 2011年3月15日21時55分頃

「自著を語る「体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践」徳丸浩（ブックレビュー） (scan.netsecurity.ne.jp)」。

ディレクトリリスティング（ファイルの一覧を表示する機能）を抑止するための保険的対策として、初稿では、各ディレクトリにダミーのindex.htmlを入れておくという方法を紹介していた。この方法はベテランのセキュリティ屋にはよく知られたTipsだが、レビュアーの太田良典氏から異論が出た。全てのディレクトリにダミーのファイルをおくことで構成管理のコストが増加するなど、さまざまな副作用が発生するというのだ。検討の結果、本書で紹介している他の対策（コストはあまり増えない）に追加してダミーのindex.htmlを配置することのメリットは薄いと判断して、この記述は削除した。

うわ晒された!

……いや、打ち上げの時に「私の分のレビューは公開していただいても構わないですよ」という発言をした記憶はありますので、全く問題ありませんが。

正確には、私の意見は「紹介しても良いが推奨はしないでほしい」という感じだったと思いますが、そもそも紹介しない形になったという話ですね。過去、ディレクトリにindex.htmlを置くという「対策」が紹介されているのは何度か見たことがあるのですが、実際に各ディレクトリにindex.htmlというファイルを置いているプロジェクトを見たことがありません。おそらく、ほとんど誰も実施していないのではないかと思います。

※何より、クライアントから「本に書いてあるんだから実施しろ」と言われたら嫌ですので。

「レビュー内容が白日の下に」にコメントを書く