パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か」記事へのコメント

  • by Anonymous Coward on 2017年03月11日 16時51分 (#3174682)

    DBには保存してなくても、ついログに出力しちゃってたりする事もあるから
    ほんと気をつけないとだめだよね。

    うっかりどっかに残ってしまうのを防ぐアイデアってあるんだろうか。
    SQLインジェクション防ぐならプリペアードステートメント使うのがセオリーとか
    XSS防ぐならテンプレートエンジンを正しく使うとか
    そんなノリで。

    • by Anonymous Coward on 2017年03月12日 1時53分 (#3174969)

      Unixの伝統として、書ける権限あるなら読めるのが普通、って感覚が良くない気がする。
      ログなんて本当はアプリは書き込み権限だけでいいんだよ。

      親コメント
      • by Anonymous Coward

        誤ってログに機密情報を出力してしまうのは、そのアプリの権限の問題ではないでしょう。

        そもそも「書ける」ということは「書き込む情報を持っている」わけですから、
        書き込んだ先をアプリから読めなくしたところで意味がないです。

        やるとすれば「ログも機密情報の一部とみなして、暗号化するか権限をきちんと設定する」になるのでは。

        以前のプロジェクトでは、ログを含めDB以外に機密情報を出さないようにするため、
        受け入れ時にソースコードの静的解析ツールを走らせて、機密情報のクラスの何か(メソッド、フィールドほか)を
        ログクラスのパラメータに与えているのを調べさせて、引っかか

      • by Anonymous Coward
        Unixの伝統だとsyslogdに投げるだけでアプリは書く権限も読む権限も持ってなくね?
        アホが書いたcommons loggingのアホな設定がコピペで蔓延してるだけだと思うぞ
    • by Anonymous Coward

      二軍の昇格組がまず慣れるために行う責任は軽くそれでいてセキュアに留意しないと簡単に破たんする
      もっと適当なWebシステム開発案件が有ればいいんだよ。

    • by Anonymous Coward

      「ログは大事だよ!とにかくログ残して!
      後から検証出来ないとお客様に説明出来ないでしょ?」とか上司が何度も言うもんだから
      postデータ含めて全部ログに出すようにしてやろうかと思ったことは何度もある

    • by Anonymous Coward

      セキュリティコードをログに出力しちゃうシステムってどんなシステムだよって。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...