ftshの日記: 今日の、不安。
日記 by
ftsh
/.jでのこのところのトピックは、"非正規手続きでの情報への接触"というテーマのモノが多い。要するに不正アクセスだが。
ここで、ftshにとって興味があるのは、不正アクセスの実行者側よりも、不正アクセスを許してしまった側の事柄である。
同じようなことがあるたびに、自分のいままでの行いに不安を覚えるのである。
ウェブスクリプトを普段書いているが、XSSやその他不正アクセスの手口について、通暁しているわけではない。
えらい人に言わせると、『おまいのような香具師に、スクリプトを書く資格は無いぞゴルラァ!』なのだろうが、この職業が好きなので、行いを改善しつつ今の仕事を続けたいと思うわけである。
普段ウェブスクリプトを書くときに気をつけている配慮が、どれだけ有効なのか、はっきりと自分で判断ができないので、不安なのである。
現在の会社には、ウェブサービスの開発において、学ぶべき師匠がいない。
制作にあたって配慮すべき事柄の一覧を、具体的に手にいれることができないでいる。
普段配慮していることを晒してしまえば、だいたい
- クライアントサイドスクリプトを信用しない
- ユーザからのデータを信用しない⇒強制変換・強制置き換え(サニタイジング)
- ユーザからのデータを、極力テキストファイルとして保存しない。保存する場合は公開ディレクトリ外へ
- データベースへのアクセス権限を複数設け、必要ごとに使い分ける
- スクリプトで利用する設定ファイル等は、公開ディレクトリ外に置く
- ディレクトリパーミッション
- php:グローバル変数自動登録を利用を行わない
・・・といったところ。
モノごとに注意しなければならない点は多少変わるが、全部当たり前のことだと突っ込まれることだろう。
不安なのは、認証部分のすり抜けとか、全く関係のないページから秘密にしておきたい情報が閲覧されてしまうとか、そういったことの発生可能性を事前に全て把握しきれていないと感じることである。
制作後のテストは、もちろん実施するのだが、それで本当に充分だったのか、納品後にいつも不安にさいなまれる。
あぁ、不安な毎日だ。
今日の、不安。 More ログイン