水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > レビュー内容が白日の下に

レビュー内容が白日の下に

2011年3月9日(水曜日)

レビュー内容が白日の下に

公開: 2011年3月15日21時55分頃

自著を語る「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」徳丸 浩(ブックレビュー) (scan.netsecurity.ne.jp)」。

ディレクトリリスティング(ファイルの一覧を表示する機能)を抑止するための保険的対策として、初稿では、各ディレクトリにダミーのindex.htmlを入れておくという方法を紹介していた。この方法はベテランのセキュリティ屋にはよく知られたTipsだが、レビュアーの太田良典氏から異論が出た。全てのディレクトリにダミーのファイルをおくことで構成管理のコストが増加するなど、さまざまな副作用が発生するというのだ。検討の結果、本書で紹介している他の対策(コストはあまり増えない)に追加してダミーのindex.htmlを配置することのメリットは薄いと判断して、この記述は削除した。

うわ晒された!

……いや、打ち上げの時に「私の分のレビューは公開していただいても構わないですよ」という発言をした記憶はありますので、全く問題ありませんが。

正確には、私の意見は「紹介しても良いが推奨はしないでほしい」という感じだったと思いますが、そもそも紹介しない形になったという話ですね。過去、ディレクトリにindex.htmlを置くという「対策」が紹介されているのは何度か見たことがあるのですが、実際に各ディレクトリにindex.htmlというファイルを置いているプロジェクトを見たことがありません。おそらく、ほとんど誰も実施していないのではないかと思います。

※何より、クライアントから「本に書いてあるんだから実施しろ」と言われたら嫌ですので。

関連する話題: 徳丸本

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト