記事個別表示 (3094)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3094] Re: 「サニタイズ言うな?」
名無しさん (2005年7月20日 0時30分)
>>>>>既存のサイトに対して、そのセキュリティ対策として『サニタイズ』を行うというのは、セキュリティ屋の発想としては極めて自然である
>>
>>ところで、これって肯定してますかね?
>>すこし屈曲した表現に見えなくもないですが。
>
>渋々っぽい感じはありますが、だからといって否定しているとは言えないでしょう。
>というかその部分は「開発者的にはなんでもサニタイズで解決という発想はよろしくない。そもそもバグだし」というのの前振りなだけなので、そこにこだわっても仕方が無いような気がします。
御意。
>セキュリティ屋が脆弱性のことをさておいてバグだバグだと言っているというのは存在意義的に変なので、啓蒙の対象とするのはお門違いではないでしょうか
これにはちょっと違和感があります。
バグだバグだと言えといっているわけではなく「本来やるべき処理が何かを」「サニタイズ」と言わずに伝えろと言っているのだと捉えられますから。しかもこの文脈において脆弱性をさておく必要は無いわけですし…。
これは穿ちすぎを承知で言うのですが、高木さんの「不満」はIPAに向けられているような気のせいがとてもしています。IPAに「サニタイズって言うな」と。IPAの立場は開発者というよりはセキュリティの専門家でしょうか。
>誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、
そうそうそう、私もそこが気になっているのですよ。誰が伝えていくのか。
ちょっと冒険っぽいですが、「伝えていく」というのを「技術を伝承する」というような意味で解釈できないでしょうか。
「ここに集ったみなさんも伝承者となったのですからみなさん伝道よろしく」みたいな。
ちなみにそう解釈したとしたら「本来やるべき処理が何か」は具体的な仕様とその実装ではなく、たとえば「文字列を扱う仕様に従った適切なエンコードをしなさい」とかいった抽象的なことになりますから、伝道者は設計者である必要はなくなります。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]