パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ」記事へのコメント

  • by Anonymous Coward on 2020年07月28日 16時08分 (#3860284)

    DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。
    用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。
    独自の脆弱性があるだろうけど突かれる恐れが低いし安全。

    • by Anonymous Coward

      作った本人が退職してメンテも更新もできなくなって破綻する未来が見える

      • by Anonymous Coward

        PC-98ノートのWin95DOS窓で動かしてるdBaseで組まれたデータベースシステムを今も使い続けている弊社の悪口はやめるんだ
        もろちんスクリプト作った人はもういない、何をやっているかわからない、
        なぜか2台動いていて毎朝ファイルを同期させてるけど何のためにやってるかわからない、
        とりあえず2.5インチATA-HDD買ってきて容量クリッピングしてHDDだけ入れ替えて使ってる
        電源入らなくなったらもう終わりだね。何度も言ってるのに変えようとしないからもうどうにでもなーれ

      • by Anonymous Coward

        こういう独自実装が残るケースって
        そもそも本人しかいじらずに済んでいて、変更する機会が元々少ない領域で数年単位で古くなっているから、
        オープンソースを活用していてもある程度の猛者しか変更することができないと思う
        破綻する時は本人のせいにせず、組織の実力が下がっていると認識すべきだと思うよ
        オープンソースの方が汎用的で難しい事もあるから、
        数年先を意識して継続的に品質を維持する努力を組織的に行うほうが大事

        けど、内製しててもプロジェクト単位で人集めてると
        失われた文明と遺跡だらけになるよね

    • by Anonymous Coward

      例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。
      だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。
      独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。

      • by Anonymous Coward

        XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。

        既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。
        独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。

        • by Anonymous Coward

          とりあえず、HTTPとHTMLを使うのをやめることから始めようか。

          • by Anonymous Coward

            TCP/IPとか公共網を使うのをやめるのも重要

        • by Anonymous Coward

          独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。
          独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。

    • by Anonymous Coward
      普通にCSVとかで十分なケース多い
      • by Anonymous Coward

        そしてCSVファイルがWebから丸見えでダウンロードできてしまうのですね分かります。

    • by Anonymous Coward

      そして、バッファオーバーフローなどの古典的な脆弱性にやられるわけですね。

    • by Anonymous Coward

      俺は普通にバグや低パフォーマンス、作業コストの増大が怖いけど、それで生産性を上げられる人もいるだろうな。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...