記事個別表示 (3069)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3069] Re: 「サニタイズ言うな?」
ばけら (2005年7月18日 14時55分)
蛇足かもしれませんが補足しておきますと、私は別に「サニタイズ言うな」に反対しているわけではありませんし、むしろ賛同しています。
多分に想像を含むので日記には書きませんでしたが、高木さんの「キャンペーン」から私が連想したのは
ウェブサイトのセキュリティ対策の再確認を ~脆弱性対策のチェックポイント~
http://www.ipa.go.jp/security/vuln/20050623_websecurity.html
という文書でした。
この文書に対してセキュリティホールmemo のこじまさんは http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/06.html#20050623_IPA で「出力時の無害化は?」とコメントしています。さらに http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2005.06/msg00045.html でコメントがついていますが、はっきり言ってこの項目は分かりにくいと思うのです。私も、「少なくとも技術者向けではない」と感じました。
それは何故なのかというと、ここでは「無害化」の具体的な例が挙げられていないからなのだと思います。入力時に無害化するのか出力時に無害化するのか、何をどう無害化するのか、というような具体的な内容が何もないので、経験のない現場の技術者がこれをこのままぶつけられても困るでしょう。
このような場面において「サニタイズ言うな」というキャンペーンは大きな意味を持つはずです。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]