アカウント名:
パスワード:
どこかの社長の「最高レベルのセキュリティ」と同じ意識ですね。 というかこういう製品は、正しいWhite Listを作らないと使い物になりませんし、望んだ効果も得られません。 上の方にありますが、taint perlを使っておきながら$foo = ($foo =~ /^(.*)$/)[0] とかするような人には効果は得られません。 正しいWebアプリケーションを作れない人/会社が、正しいWhite Listを作れるという、説得力のある理由がみつかりません。
# もちろん、これらの製品を正しく設定すれば有用である事には異議はありません。
価格.comの件にしても、外部のセキュリティ会社がポカしたっぽいですが、外部に委託すれば完全なものができるとは限りません。 問題が起きたときに、尻拭いぐらいはさせられるかもしれませんが。
問題の無いWebアプリを自社内で作れるか、外部に委託すべきか、委
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
WAF (スコア:3, 参考になる)
商用(アプライアンス)だったら
Teros [teros.com]とか
TrafficShield [f5.com]とか
NetContinuum [netcontinuum.com]とか
SecureSphere [imperva.com]とか
商用(ソフトウェア)だったら
InterDo [kavado.com]とか
AppShield [watchfire.com]とか
# F5に買われたのか、、
オープンソースならmod_security [modsecurity.org]
使えば防げるよ。
他にもあるけど、こんなに出てるのね。
# 仕事中だけど、ま、いいや
ぱ
Re:WAF (スコア:2, すばらしい洞察)
どこかの社長の「最高レベルのセキュリティ」と同じ意識ですね。
というかこういう製品は、正しいWhite Listを作らないと使い物になりませんし、望んだ効果も得られません。
上の方にありますが、taint perlを使っておきながら$foo = ($foo =~ /^(.*)$/)[0] とかするような人には効果は得られません。
正しいWebアプリケーションを作れない人/会社が、正しいWhite Listを作れるという、説得力のある理由がみつかりません。
# もちろん、これらの製品を正しく設定すれば有用である事には異議はありません。
Re:WAF (スコア:0)
出来ないなら人に頼めばいい。
# 丸投げしているのでAC
Re:WAF (スコア:0)
なかなか効果ありましたよ。中規模サイトで20万位でしたが。
Re:WAF (スコア:0)
正しいWebアプリを作れるかどうかを判断できないような人や会社が、正しいWhite Listが作れる人や会社を選択できるという、説得力のある理由がみつかりません。
自社内でやるか、外部に委託するかは問題じゃないんですよ。
価格.comの件にしても、外部のセキュリティ会社がポカしたっぽいですが、外部に委託すれば完全なものができるとは限りません。
問題が起きたときに、尻拭いぐらいはさせられるかもしれませんが。
問題の無いWebアプリを自社内で作れるか、外部に委託すべきか、委
Re:WAF (スコア:1, 参考になる)
自分の行った対策がどのレベルを保護しているのか理解できないと無意味。
Re:WAF (スコア:1)
この一言が中途半端ですね。
むしろ「~使えば防げない攻撃はない」位言って欲しかった。(笑)
そしたらもっと釣れたのに。