パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    SQL注入されちゃうのはプログラムの欠陥だろー>asahi.comの記事
    • 本当にクラックの方法が記事どおりだとしてら、

       これまでのサイト攻撃は、OSの不備やホームページをネットに提供するプログラムのミスなどを突くケースが多かった。今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意のある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

      • 入力された値のバリデーションを正しく行うことは、Secureプログラミングの基本だと思うのだが、、、

        違いますよ。セキュアプログラミングの本当の基本は、入力の値がどうこうというよりも、出力部分、つまり値を使用する部分(SQLならSQL文を文字列連結して作成する部分)で、メタ文字をエスケープすること(ないし制限チェックをすること(たとえば変数をパス名として使用する部分では、使用するところで所定のディレクトリ内かをチェックする。けっして入力値のチェックではない。))です。

        どういうわけか、入力をサニタイズするという場当た

        • by ruto (17678) on 2005年05月24日 23時38分 (#740237) 日記
          それをサニタイズと言うのだと思っていました。
          後学のために正しくはサニタイズとはどういう処理か詳しく教えてください。
          親コメント
          • 無毒化というくらいですからね。普通に当たり前に書いているコードをわざわざ無毒化と呼ぶのは変では?
            • 「無害にする」って訳す翻訳サイトもあるが、エキサイトのテキスト翻訳では「sanitize => 殺菌してください。」と訳したね。

              英語を使う人間がサニタイズと使うからって、そのまま使うケースがあまりに多過ぎる気がするな。
              あっちの人間って、新しい単語を作っても、辞書に載っていなければ通じないから、既存の単語を良く用いる。
              それと違い漢字って、漢字自体が意味を持つから、「無害にする」とか「殺菌する」なんて言葉の英語を外来語として使わずに、「特殊文字の無害化」って多くの人が見ても分かり易く表現した方が良いんじゃないの?
              「特殊文字をサニタイズしていないから」みたいな「対象」がはっきり分かる表現ならば分かりやすいけど。

              CGIのソースを指差し「サニタイズして」なんて言っていると、言われた人はモニターをイソプロピルアルコール等で消毒....
              その後、「サニタイズしてくれた?」なんて聞くと「ちゃんとしておきましたよ」なんて....
              後日、「しかし結果として“最高の対策”とは呼べない部分はあったと思う」
              http://www.itmedia.co.jp/news/articles/0505/25/news086.html
              なんていう羽目になるかも。

              # だけど「無過失らしい」....
              親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...