グッドラッパーって何?

2007年5月19日(土曜日)

グッドラッパーって何?

セキュリティホールmemoで紹介されていて、後で読もうと思っていた「ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 (www.jumperz.net)」を読んでみました。

……。

……なぜでしょう、私の前提知識が不足しているからなのですかね。何度読み直しても全然頭に入ってこないのですが……。

結城浩さんの「バッドノウハウからグッドラッパーへ― 「奥が深い」システムの改善方法 ― (www.hyuki.com)」は、とても分かりやすく思いますが、それを読んでこちらに戻ってくると、ますます分からないという……。

理解できなかったところをいくつかメモしておきます。

グッドラッパー

そして、セキュリティ対策というバッドノウハウに対し、負担を軽くするラッパー（グッドラッパー）は既にいくつも存在している。以下にいくつか例を示す。
・SQLインジェクションに対してバインドメカニズムを使用する
・バッファオーバーフローに対してJavaや.NETを使用する
・XSS対策として全部の文字をエスケープしてしまう
・CSRF対策として「hidden+POST方式」のセッション管理を使う
・ネットワーク上の盗聴やなりすましに対してSSLを使う

これらは「ラッパー」? 「hidden+POST方式のセッション管理を使う」などというのは全然「ラッパー」ではないと思うのですが、たとえば「自らセッション管理を実装するのではなく、自動で hidden+POST方式のセッション管理を実現してくれるフレームワークを使う」ということを意図しているのでしょうか。

……と思いきや、

グッドラッパーはソフトウェア的なものであったり、ただの発想であったりする。

と来るので、分からなくなってしまいます。ただの発想が「ラッパー」?

「ラッパー」という語の語感が私とは大幅に異なっていて、そこが理解の妨げになっているのかもしれません。

アプリケーション開発者

・「開発したアプリケーションが安全であること」が達成されているならば、その手段は問わない。セキュリティ対策は目的ではないため、そこにはできるだけリソースを割かないようにしたい。

何が言いたいのかよく分かりませんでした。結局、この人は安全性を求めるのでしょうか、求めないのでしょうか……。「要件で定義された安全性は満たそうとするが、それ以上の安全性は必要としていない」ということ?

グッドラッパー提供者

何度読んでも、「グッドラッパー提供者」という人の具体的なイメージがわきませんでした。単純に私が「グッドラッパー」の定義を理解できていないからだと思いますが……。

たとえば「SQLインジェクションに対してバインドメカニズムを使用する」のが「グッドラッパー」であるとして、その提供者って誰なのでしょうか。

セキュリティ研究者

・IEのバグのような非本質的なセキュリティ上の問題を毛嫌いし、それがどのようなもので、どの程度の影響があるのか、またウェブアプリケーション側で対策可能なものなのか、などの点について検討さえしない傾向がある。

あるセキュリティ問題があったとき、「それがどのようなもので、どの程度の影響があるのか、またウェブアプリケーション側で対策可能なものなのか、などの点について検討」しないまま、その事象を「非本質的なセキュリティ上の問題」だと判断している人がいる、ということですよね。それはまあいるだろうと思いますが、そういう人はたぶん「セキュリティ研究者」ではないと思うのですよね……。

もちろん、研究者が「ブラウザの問題であり、Webアプリケーション側での対策は妥当ではない」という判断をする場合もあるでしょうけれども、それは検討の結果としてそういう結論を出しているのではないかと。

・グッドラッパーの存在を「本質の隠蔽であり、有害だ」と考えてしまう。

前出のグッドラッパーの例を引いてくると、セキュリティ研究者は、たとえば「SQLインジェクションに対してバインドメカニズムを使用する」ことを「本質の隠蔽であり、有害だ」と考えることになるわけですが……。そんな主張してる人、見たことないんですよね。

「グッドラッパー」か「セキュリティ研究者」の語のいずれか、もしくは両方が私とは全く異なる感覚で使われているとしか思えないのですが、ではどういう意味で使われているのか考えてみても、やはり分からず……。

というわけで、「グッドラッパー」についての話であるはずなのに、結城浩さんの「グッドラッパー」概念とは違うものなのだろう、ということくらいしか分かりませんでした……。

「グッドラッパーって何?」へのコメント (1件)