アカウント名:
パスワード:
どこかの社長の「最高レベルのセキュリティ」と同じ意識ですね。 というかこういう製品は、正しいWhite Listを作らないと使い物になりませんし、望んだ効果も得られません。 上の方にありますが、taint perlを使っておきながら$foo = ($foo =~ /^(.*)$/)[0] とかするような人には効果は得られません。 正しいWebアプリケーションを作れない人/会社が、正しいWhite Listを作れるという、説得力のある理由がみつかりません。
# もちろん、これらの製品を正しく設定すれば有用である事には異議はありません。
価格.comの件にしても、外部のセキュリティ会社がポカしたっぽいですが、外部に委託すれば完全なものができるとは限りません。 問題が起きたときに、尻拭いぐらいはさせられるかもしれませんが。
問題の無いWebアプリを自社内で作れるか、外部に委託すべきか、委
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
WAF (スコア:3, 参考になる)
商用(アプライアンス)だったら
Teros [teros.com]とか
TrafficShield [f5.com]とか
NetContinuum [netcontinuum.com]とか
SecureSphere [imperva.com]とか
商用(ソフトウェア)だったら
InterDo [kavado.com]とか
AppShield [watchfire.com]とか
# F5に買われたのか、、
オープンソースならmod_sec [modsecurity.org]
ぱ
Re:WAF (スコア:2, すばらしい洞察)
どこかの社長の「最高レベルのセキュリティ」と同じ意識ですね。
というかこういう製品は、正しいWhite Listを作らないと使い物になりませんし、望んだ効果も得られません。
上の方にありますが、taint perlを使っておきながら$foo = ($foo =~ /^(.*)$/)[0] とかするような人には効果は得られません。
正しいWebアプリケーションを作れない人/会社が、正しいWhite Listを作れるという、説得力のある理由がみつかりません。
# もちろん、これらの製品を正しく設定すれば有用である事には異議はありません。
Re:WAF (スコア:0)
出来ないなら人に頼めばいい。
# 丸投げしているのでAC
Re:WAF (スコア:0)
なかなか効果ありましたよ。中規模サイトで20万位でしたが。
Re:WAF (スコア:0)
正しいWebアプリを作れるかどうかを判断できないような人や会社が、正しいWhite Listが作れる人や会社を選択できるという、説得力のある理由がみつかりません。
自社内でやるか、外部に委託するかは問題じゃないんですよ。
価格.comの件にしても、外部のセキュリティ会社がポカしたっぽいですが、外部に委託すれば完全なものができるとは限りません。
問題が起きたときに、尻拭いぐらいはさせられるかもしれませんが。
問題の無いWebアプリを自社内で作れるか、外部に委託すべきか、委