アカウント名:
パスワード:
いまだに12文字制限のあるとこ(ゆうちょとか)、さらに8文字制限のクレジットカード系とかほんと勘弁してほしい。
記号入力必須なのに、特定の記号以外は入力制限がある(いまどき、SQL文でも直書きしてるの?)とかもやめてほしい。
Webアプリケーションファイアウォールってのがあってだな、記号有りにして、例えば「t' OR 't' = 't」みたいなパスワード使われてしまうと誤検出が発生してしまう。
誤検出を防ぐには、当該ページ(例えば login.php への POST)に対してWebアプリケーションファイアウォールを無効にするしかなくなる。すると、万が一SQLインジェクションとかOSコマンドインジェクションとかの脆弱性があっても、Webアプリケーションファイアウォールが作動しなくなってしまう。
なので、
・Webアプリケーションファイアウォールによって脆弱性があった場合にも悪用を防げる(場合がある)ことのメリッ
この長文はプレースホルダやせめてエスケープ処理を知らない昔の人ですか?
「ファイヤウォールがSQLインジェクション攻撃と誤認してアクセスをブロックしてしまう」ことを問題にしているのであって、ウェブアプリがSQLインジェクション対策されてるかどうかは無関係。
別のコメントみたいに「そんなファイヤウォールに頼るな」というツッコミは正当だけど、プレースホルダとかエスケープ処理とか「SQLインジェクション対策しろ」というコメントはまったくの的外れ。
WAFって今時どこでも使ってる気がするけど、金融系でだけそんな問題が発生するの? それは金融系のセキュリティが甘いってことじゃないの?
金融系は真っ先にWAF入れた真っ先に入れたからチャチかったので先のようなことになったそれに対応するためのバッドノウハウも必要だった
東京都心の地下鉄駅が狭くてぼろいようなもん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
文字数制限 (スコア:1)
いまだに12文字制限のあるとこ(ゆうちょとか)、さらに8文字制限のクレジットカード系とかほんと勘弁してほしい。
Re: (スコア:0)
記号入力必須なのに、特定の記号以外は入力制限がある
(いまどき、SQL文でも直書きしてるの?)とかもやめてほしい。
Webアプリケーションファイアウォールを知らないの? (スコア:1)
Webアプリケーションファイアウォールってのがあってだな、
記号有りにして、例えば「t' OR 't' = 't」みたいなパスワード使われてしまうと誤検出が発生してしまう。
誤検出を防ぐには、当該ページ(例えば login.php への POST)に対してWebアプリケーションファイアウォールを無効にするしかなくなる。
すると、万が一SQLインジェクションとかOSコマンドインジェクションとかの脆弱性があっても、Webアプリケーションファイアウォールが作動しなくなってしまう。
なので、
・Webアプリケーションファイアウォールによって脆弱性があった場合にも悪用を防げる(場合がある)ことのメリッ
Re:Webアプリケーションファイアウォールを知らないの? (スコア:0)
この長文はプレースホルダやせめてエスケープ処理を知らない昔の人ですか?
Re:Webアプリケーションファイアウォールを知らないの? (スコア:1)
「ファイヤウォールがSQLインジェクション攻撃と誤認してアクセスをブロックしてしまう」ことを問題にしているのであって、ウェブアプリがSQLインジェクション対策されてるかどうかは無関係。
別のコメントみたいに「そんなファイヤウォールに頼るな」というツッコミは正当だけど、
プレースホルダとかエスケープ処理とか「SQLインジェクション対策しろ」というコメントはまったくの的外れ。
Re: (スコア:0)
WAFって今時どこでも使ってる気がするけど、金融系でだけそんな問題が発生するの? それは金融系のセキュリティが甘いってことじゃないの?
Re: (スコア:0)
金融系は真っ先にWAF入れた
真っ先に入れたからチャチかったので先のようなことになった
それに対応するためのバッドノウハウも必要だった
東京都心の地下鉄駅が狭くてぼろいようなもん