2008-01-30

初心者PHP脆弱ウェブアプリどんどん量産すべし

http://www.rubyist.net/~matz/20080126.html#p04

趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。

それでこれだよ。

http://d.hatena.ne.jp/essa/20080130/p1

もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけてるヤツばっかりじゃねーか。おれだって趣味でやるとはいえセキュリティの事はけっこう勉強したよ。XSSだのSQLインジェクションだのなんだかんだ。でもこの手の説明って本当に初心者には分かりにくい説明ばっかりで、高木浩光にしたって長い上に何言ってるのかさっぱり分からない。肝心の初心者に声が届いてなくて、わかってるもん同士で「うむうむ、セキュリティは大事ですなぁ」って仲間ごっこしてるだけじゃねーか。阿呆か。そんなに大事なら分かりやすく説明してみろっての。

だいたい、初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。具体的に。おれの知ってる限りじゃこの手のウェブアプリ攻撃で本当にイヤだな、と思ったのははまちやのせいでダイアリー勝手更新されたとか、それくらいしか記憶に残ってねーよ。それだって作ったのはプロじゃねーかよ。確率的には低い「初心者PHPで作ったウェブアプリの危なさ」をさんざん煽ってよ?初心者プログラマ萎えさせて何が楽しいんだよ。くだらねえ。

だからおれは全世界初心者プログラマおよび潜在的プログラマにこう告げる。PHPどんどん作れ。Perlとかダメ。クセありすぎ。RubyとかJavascriptオブジェクト超難しい。だからPHPセキュリティとか気にするな。そんなもん気にして途中であきらめるよりお前が実際に何か作る事の方が大事だ。もし万が一脆弱性突かれて問題になったら、そんときゃ謝れ。プロが作ったもんだって攻撃される時はされるんだから。反省して、そこで初めてセキュリティ勉強しろ。痛い目見たらイヤでも身に付くから。怖がって最初からやらないより、なにかやらかして学ぶ方が100倍いいに決まってる。

トラックバック - http://anond.hatelabo.jp/20080130215148
  • http://anond.hatelabo.jp/20080130215148

    超同意、初心者が下手なサービス出したらPHPモヒカン族がやってくる! だけど、おにゃのこ初心者プログラマーには優しくアドバイス・・・。キモイ!

  • http://anond.hatelabo.jp/20080130215148

    阿呆なんですか? 根性ねじれてますか? PHPで初心者がWebアプリ作るなとは誰も言ってねーよばか。 公開するな、と言ってるだけ お前らの、その穴だらけのクソWebアプリを全世界に公開...

    • http://anond.hatelabo.jp/20080131103838

      全世界に・・・そんな風に思ってた時期もありました。

    • http://anond.hatelabo.jp/20080131103838

      アホはお前。 公開しないで何が楽しいの? そんなに困るならさっさと法整備すれば? ルール作ってウェブアプリ公開できるのはライセンス保持者だけってすればいいじゃん。 そのウェ...

      • http://anond.hatelabo.jp/20080202120947

        http://anond.hatelabo.jp/20080201191908 アホはお前。 公開しないで何が楽しいの? 確かに公開した方が楽しい。でも、公開しなくたってプログラミングを楽しめるんですよ。。そうやって「作...

    • http://anond.hatelabo.jp/20080131103838

      「全世界に公開出来るクオリティ」って何さw それって世界にかこつけて単に「オレサマが納得できるクオリティじゃないと、お前らは公開しちゃだめ!」っていってるだけじゃねーか ...

      • http://anond.hatelabo.jp/20080202135746

        長いけど要するに 不完全でもとりあえず作って公開する、ってのは意味があること。 これにはものすごく同意。 けど、単なるインジェクションすら分からんと開き直られると、ちょ...

        • http://anond.hatelabo.jp/20080202140713

          横レスだけど。 簡単すぎて多分ここで説明しても無意味だとおもうよ。 インジェクションに対応してるっていってもさ・・・ 例えば`(バッククオート)とかに対応してなかったりする...

          • http://anond.hatelabo.jp/20080202142131

            「初心者が萎えちゃうから『Webをなめるな』なんて言っちゃダメ!」ってほうが、よっぽど過保護だと思うのだけど、どうか。 というか、なんでそんな事が気になるんだろう。 ほっとい...

            • http://anond.hatelabo.jp/20080202142653

              他人のモチベーションを保護しているわけじゃなくて、 わざわざ出向いていって他人のモチベーションを壊す気になれないよ、というだけ。 作為的な言い方はよそうよ。 わざわざ他人の...

              • http://anond.hatelabo.jp/20080202145203

                俺へのレスへレスしてくれてありがとう。 そのとおり。自分も言いたかったのはそういうことなんだぜ。 同じような意見のひとがいると楽チンだね!

              • http://anond.hatelabo.jp/20080202145203

                最低限のこと書いてるだけで、過保護は無いんじゃね?Matzだってdankogaiだってモチベーションを壊そうとしてるわけないじゃん。なんていうか、モチベーション過敏症? 他人のモチベー...

          • http://anond.hatelabo.jp/20080202142131

            いや、何で過保護って言葉がでてくるのかよくわかんないです。保護って? 「インジェクション対策とかセキュリティアップデートってすごく簡単」なんだから、それをさも難しいこと...

        • http://anond.hatelabo.jp/20080202140713

          マジな話、この説明で分からないプログラマが居たら、恥ずかしがらずに「そんなんじゃ分からんわボケ」と言って欲しかったりする。

        • http://anond.hatelabo.jp/20080202140713

          俺に「簡単でしょ?」って言われても、俺は今発言しただけでその「元増田」じゃないからなあ

    • お前こそ公開するな

      お前の、その穴だらけのクソテキストを全世界に公開するのは色んな意味でよろしくないのでやめましょうね 元ネタ>http://anond.hatelabo.jp/20080131103838

  • anond:20080130215148

    初心者がPHPで脆弱なウェブアプリをどんどん量産しても構いません。 そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 ただその程度で経験...

    • http://anond.hatelabo.jp/20080131105014

      そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 いや、そんな風に言われると困る。 XSSやり放題で、CSRF仕掛けられちゃうような Webアプ...

  • http://anond.hatelabo.jp/20080130215148

    相変わらずケツ語だけ見て脊髄してる奴が多いなあ。その前の4段落くらいの内容なんて全く頭に残ってないだろ(w で、要はアレだ、上級者やそのへんの上の人たちに対しては 初心者が...

    • http://anond.hatelabo.jp/20080131122256

      何が言いたいの? 初心者をシャットアウトしろという意見がもっともだと思うなら、まずお前の厨房レベルの言い訳を訂正しろよ。 # あと「シャットアウトしろ」という表現は、間違っ...

  • http://anond.hatelabo.jp/20080131123647

    http://anond.hatelabo.jp/20080130215148 極論過ぎるだろうけど、考え方は間違ってないと思う。 今セキュリティのプロ気取ってるやつらも最初は初心者だったんだから。

  • http://anond.hatelabo.jp/20080130215148

    「よーしもうちょっとで公開できるなー ちょっと手を抜いたからセキュリティは甘いかもだけど絶対面白いしいろんな人が喜んでくれるはずだしきっと有名に…… >Webアプリをなめる...

  • http://anond.hatelabo.jp/20080130215148

    うわー。その通りだよ。PHPは使ったことないが。 まず、何をしたら、何をしなければ、安全になるのかよくわからない。 次に、自分の書いた物は自分で見ても、どこがまずいのかわか...

    • http://anond.hatelabo.jp/20080131124734

      仕事で使ってる人とか、仲間内でやってる人が多いんじゃないかと思うけど。。。 初心者でサービスを作るなら、URLを公開しないか、公開するならBASIC認証をかける程度の事をやってお...

  • http://anond.hatelabo.jp/20080130215148

    初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。具体的に。 まぁ、下請けで仕事してるこっちの身になればクソコードを量産するPHP初心者はマジ...

  • http://anond.hatelabo.jp/20080130215148

    ここ最近のPHPはセキュリティ云々って話、「化石燃料燃やすと温暖化とか環境に悪影響が出るから発展途上国の皆さんはも少し環境に気を使えよ(はぁと)」っていう先進国の言ってるこ...

    • http://anond.hatelabo.jp/20080131132644

      似てないよ。仕事ないのは同情するけど。 今はインターネットの利用者がとても多いし、10年前よりもセキュリティ意識が格段に高いけれど、そういう過去の鷹揚な時代に乗り遅れたのは...

  • そもそも

    anond:20080130215148 まあ、こうやって騒いでも、ああやって騒いでも・・・。 初心者さんは、見ていないものです。。。 それよりも、分かる人はそんなこと無視して、 初心者さんのための...

  • http://anond.hatelabo.jp/20080130215148

    基本的には完全同意。 もう初心者は肥だめに落ちたブタのようなクソコードを量産しまくって、公開しまくって失敗しまくれ。 問題はあなた方のような「やる気のある初心者」じゃなく...

  • http://anond.hatelabo.jp/20080130215148

    要は個人が作って無償で公開するようなサービスならPHPだろうが大量に脆弱性作りこもうが好きにしろってことで, 業務でコード書くならセキュリティをちゃんと考えなければダメだっ...

    • http://anond.hatelabo.jp/20080131151954

      趣味プログラマの初心者はサービスを「公開」しちゃ駄目でしょ。クローズドな所でやっとけ。

      • http://anond.hatelabo.jp/20080131152701

        公開するのはOKだと思うが、他人の個人情報とか預かっちゃだめって事じゃない。 XSS脆弱性はそもそも信用されていないサーバーだろうから、あまり問題ないし。 SQLインジェクションで...

  • 万が一の時のダメージ

    初心者はPHPで脆弱なウェブアプリをどんどん量産すべし これを増田に書くってことは、idでこういうことを書くことのリスクがわかっているのだと思います。 もし、この増田君の友達が...

  • http://anond.hatelabo.jp/20080130215148

    おまいの言うとおりだ。 初心者は脆弱性なんかに気を遣わなくてもおk。 どんどん書いて、どんどん失敗して、覚えてゆくものだ。

    • http://anond.hatelabo.jp/20080131182838

      踏み台にされるリスクさえ分からん初心者にはインターネットでサービスを公開するなと言いたい。 簡単な認証も書けん奴はWebサービス公開すんな。

    • http://anond.hatelabo.jp/20080131182838

      同意だよ。 初心者が本当に注意しなければいけないのは、スクリプトの脆弱性よりもサーバーのセキュリティ。 PHPなら大抵どこのレンタルサーバーも利用可能なので殆ど問題がない。 初...

      • http://anond.hatelabo.jp/20080131200105

        root権限奪取とか、SQLインジェクション持ち出されても、はいそうですねとしか言いようがない。 あと PHPだから安全、みたいな事を言うのも必ずしも正しくないし、有害なのでやめれ。 ...

  • http://anond.hatelabo.jp/20080201012307

    http://anond.hatelabo.jp/20080130215148 その通りだと思った。 いいじゃん別に!いろんな人がプログラミングに接せられるようになった方が、もっと嬉しくないの? それが。php、perl、rubyだとし...

    • http://anond.hatelabo.jp/20080201012307

      いや、元増田の「分からんから開き直る」という態度はアマチュアでもプロでも害悪でしかないぞ。おまけに自分はリスクを取らず無知な人を煽ってるのが卑怯すぎる。 というか、Webで...

  • [開発]あまりに見事に酷いお話

    http://anond.hatelabo.jp/20080130215148 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだ...

  • はてなの構造的脆弱性とか

    http://anond.hatelabo.jp/20080130215148 ほんとほんと。 はてなにだってすごい脆弱性がある。 最近更新されたダイアリー一覧とかいうのがある。 無限に過去をさかのぼって一覧をみることができ...

    • http://anond.hatelabo.jp/20080201095257

      お前らのその「赤信号みんなで渡れば怖くない」的な責任回避が気に入らない。あと何を知ったかぶりたいのか知らないけど、その程度で「構造的脆弱性」とか「システム設計(笑)がいか...

      • http://anond.hatelabo.jp/20080201110453

        ヨコレス。 アカウント名を他人に知られることは別に危険ではない。"ID"と"パスワード"で2元的に管理してるだろ?パスワードが容易に推測できる場合が問題なだけ。誤ったセキュリテ...

        • http://anond.hatelabo.jp/20080201151750

          君が何を言ってるのかわからないよ セッション維持にIDを使う設計がクソなだけで、それと(まっとうに設計されている)システムでのID公開は別じゃん

          • http://anond.hatelabo.jp/20080201154318

            まじで? なんで俺まで噛みつかれちゃったんだろ。 セッションハイジャックなんかの話はしてないつもりだよ。 ログイン用のアカウントは収集可能なところに晒さないのは当然の流れな...

            • http://anond.hatelabo.jp/20080201160547

              ログイン用のIDがばれたらIDが判らないよりその人のアカウントは盗みやすくなるよね? それはパスワードの強度が足りないだけであって、IDを秘密にすべき理由にはならないよ。 IDを...

              • http://anond.hatelabo.jp/20080201161924

                なんでこんなに強情なんだろう? ・パスワードの強度はユーザー依存 ・IDが隠蔽されていたら特定のユーザーを狙うことができない ・IDバレした状態でパスワードが20文字あるよりも、I...

                • http://anond.hatelabo.jp/20080201180907

                  ・IDバレした状態でパスワードが20文字あるよりも、IDが隠蔽された状態で6文字のPASSの方が強度がある これはおかしい。 IDなんて、大抵辞書に載ってそうな言葉なんだから、IDバレ&...

                  • http://anond.hatelabo.jp/20080201191014

                    ベストなのは秘密ID20文字+パスワード20文字ていう結論ですか? 銀行の暗証番号を誕生日4桁に設定するなんてもってのほかだと思うけれど、IDが知られなければ特定個人へのクラックも出...

            • http://anond.hatelabo.jp/20080201160547

              IDやその人自身の属性に関連したパスワードをつけてしまうアホを考えると、確かにIDは知られにくい方が良いように思えるかもしれない。 そういったアホに対して、IDも知られない方が...

  • セキュリティ過敏症

    初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かい...

  • http://anond.hatelabo.jp/20080130215148

    こういう論争にすぐ発展するから、にわかプログラマーが離れてくと思うんだ。 変なものを作ると、自分が発端で火種になってしまう。 続けられるかどうかわからない初心者が 「セキュ...

  • http://anond.hatelabo.jp/20080130215148

    俺はプログラマじゃないからよくわかんないけど、 セキュリティーホールだらけのウインドウズ作ってるのって、 そこらへんのえらそうなこと言ってる人たちより 優秀なプログラマなん...

    • http://anond.hatelabo.jp/20080201200117

      Windowsはソースコードが何千万行もあるらしいからねー。 使いまわしもあるだろうし、セキュリティホールが全くないものを書くのはものすごく難しいと思う。もちろんプログラマは超優...

      • http://anond.hatelabo.jp/20080201201140

        ふーん、そうなんだ。 やっぱりMSの人たちってプログラムの世界じゃトップクラスなの? その人たちでもセキュリティーは完璧じゃないってこと? でも、その人たちから見たら、そこら...

        • http://anond.hatelabo.jp/20080201205040

          プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

          • http://anond.hatelabo.jp/20080201212244

            プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

  • http://anond.hatelabo.jp/20080130215148

    初心者のくせにいきなり高木浩光の言ってることを理解しようとするのが間違いというかアンラッキーというか空気が読めてないというか。 あんなの始めは理解できなくたって良いんだ...

  • http://anond.hatelabo.jp/20080130215148

    どこに書こうか迷ったが・・・。 問題は、プロが作るべきシステムなのに初心者(としか思えない)が作っていることが多い、ということじゃないのだろうか。 はまちゃんの言うとおり、...

    • http://anond.hatelabo.jp/20080202174001

      そうだね・・・。 びっくりするほどな人が混じってたりするのは排除できない。 さすがにフリーランスで動いているひとにそういう人はいないのだけど、 企業所属だとアルバイトが普通...

  • インターネットは怖い場所だよ

    http://anond.hatelabo.jp/20080130215148 >初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。 被害がでたことがわからないのがネット攻撃なんだがな。ほんとに...

  • Webアプリのセキュリティ

    システムのセキュリティって何のために考えなきゃいけないんでしょうね。最近、会社生活がめっきり開発色に染まって、Webアプリのセキュリティレベルのバランスを考えながらそんなこ...

  • PHPについて

    PHPは定期的にネタにされるらしい ちょっと前のことだけど、Rubyの作者である...

  • [セキュリティ]今日は増田的情報セキュリティの日

    私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。 なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ...

  • http://anond.hatelabo.jp/20080130215148

    こういう初心者を励ましてくれる人を見ると、すごく嬉しい気持ちになる。

記事への反応(ブックマークコメント)