記事個別表示 (3093)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3093] Re: 「サニタイズ言うな?」
りゅう (2005年7月19日 16時51分)
>>>>既存のサイトに対して、そのセキュリティ対策として『サニタイズ』を行うというのは、セキュリティ屋の発想としては極めて自然である
>
>ところで、これって肯定してますかね?
>すこし屈曲した表現に見えなくもないですが。
渋々っぽい感じはありますが、だからといって否定しているとは言えないでしょう。
というかその部分は「開発者的にはなんでもサニタイズで解決という発想はよろしくない。そもそもバグだし」というのの前振りなだけなので、そこにこだわっても仕方が無いような気がします。
>>なので区別されているのはセキュリティ屋と開発者です。
>
>そうなると、サニタイズって言っちゃいけないのは「開発者」に限ってしまうということになるんでしょうか。
セキュリティ屋が脆弱性のことをさておいてバグだバグだと言っているというのは存在意義的に変なので、啓蒙の対象とするのはお門違いではないでしょうか。
>「発想としては極めて自然」というのを限定的に捉えた上で、開発時から(あるいはその前から啓蒙者として)携わるセキュリティアドバイザも含めて関係者全員に「ちゃんと作ろうよ」を呼びかけていると考えるとすっきりするんですが…。
誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、バグ、つまり仕様を満たしていない動作を指摘できるのは設計した人なので、私はSEなど設計した人がきちんと伝えていくべきだと解釈しました。もちろん、バグだからちゃんと作りましょうと指摘してくれるセキュリティ屋は良いセキュリティ屋ではありますが、セキュリティ屋にそれを望むのは贅沢な悩みという感じがします。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]