2008-01-30

初心者PHP脆弱ウェブアプリどんどん量産すべし

http://www.rubyist.net/~matz/20080126.html#p04

趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。

それでこれだよ。

http://d.hatena.ne.jp/essa/20080130/p1

もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけてるヤツばっかりじゃねーか。おれだって趣味でやるとはいえセキュリティの事はけっこう勉強したよ。XSSだのSQLインジェクションだのなんだかんだ。でもこの手の説明って本当に初心者には分かりにくい説明ばっかりで、高木浩光にしたって長い上に何言ってるのかさっぱり分からない。肝心の初心者に声が届いてなくて、わかってるもん同士で「うむうむ、セキュリティは大事ですなぁ」って仲間ごっこしてるだけじゃねーか。阿呆か。そんなに大事なら分かりやすく説明してみろっての。

だいたい、初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。具体的に。おれの知ってる限りじゃこの手のウェブアプリ攻撃で本当にイヤだな、と思ったのははまちやのせいでダイアリー勝手更新されたとか、それくらいしか記憶に残ってねーよ。それだって作ったのはプロじゃねーかよ。確率的には低い「初心者PHPで作ったウェブアプリの危なさ」をさんざん煽ってよ?初心者プログラマ萎えさせて何が楽しいんだよ。くだらねえ。

だからおれは全世界初心者プログラマおよび潜在的プログラマにこう告げる。PHPどんどん作れ。Perlとかダメ。クセありすぎ。RubyとかJavascriptオブジェクト超難しい。だからPHPセキュリティとか気にするな。そんなもん気にして途中であきらめるよりお前が実際に何か作る事の方が大事だ。もし万が一脆弱性突かれて問題になったら、そんときゃ謝れ。プロが作ったもんだって攻撃される時はされるんだから。反省して、そこで初めてセキュリティ勉強しろ。痛い目見たらイヤでも身に付くから。怖がって最初からやらないより、なにかやらかして学ぶ方が100倍いいに決まってる。

  • 超同意、初心者が下手なサービス出したらPHPモヒカン族がやってくる! だけど、おにゃのこ初心者プログラマーには優しくアドバイス・・・。キモイ!

  • 阿呆なんですか? 根性ねじれてますか? PHPで初心者がWebアプリ作るなとは誰も言ってねーよばか。 公開するな、と言ってるだけ お前らの、その穴だらけのクソWebアプリを全世界に公開...

    • 全世界に・・・そんな風に思ってた時期もありました。

    • アホはお前。 公開しないで何が楽しいの? そんなに困るならさっさと法整備すれば? ルール作ってウェブアプリ公開できるのはライセンス保持者だけってすればいいじゃん。 そのウェ...

      • http://anond.hatelabo.jp/20080201191908 アホはお前。 公開しないで何が楽しいの? 確かに公開した方が楽しい。でも、公開しなくたってプログラミングを楽しめるんですよ。。そうやって「作...

    • 「全世界に公開出来るクオリティ」って何さw それって世界にかこつけて単に「オレサマが納得できるクオリティじゃないと、お前らは公開しちゃだめ!」っていってるだけじゃねーか ...

      • 長いけど要するに 不完全でもとりあえず作って公開する、ってのは意味があること。 これにはものすごく同意。 けど、単なるインジェクションすら分からんと開き直られると、ちょ...

        • 横レスだけど。 簡単すぎて多分ここで説明しても無意味だとおもうよ。 インジェクションに対応してるっていってもさ・・・ 例えば`(バッククオート)とかに対応してなかったりする...

          • 「初心者が萎えちゃうから『Webをなめるな』なんて言っちゃダメ!」ってほうが、よっぽど過保護だと思うのだけど、どうか。 というか、なんでそんな事が気になるんだろう。 ほっとい...

            • 他人のモチベーションを保護しているわけじゃなくて、 わざわざ出向いていって他人のモチベーションを壊す気になれないよ、というだけ。 作為的な言い方はよそうよ。 わざわざ他人の...

              • 俺へのレスへレスしてくれてありがとう。 そのとおり。自分も言いたかったのはそういうことなんだぜ。 同じような意見のひとがいると楽チンだね!

              • 最低限のこと書いてるだけで、過保護は無いんじゃね?Matzだってdankogaiだってモチベーションを壊そうとしてるわけないじゃん。なんていうか、モチベーション過敏症? 他人のモチベー...

          • いや、何で過保護って言葉がでてくるのかよくわかんないです。保護って? 「インジェクション対策とかセキュリティアップデートってすごく簡単」なんだから、それをさも難しいこと...

        • マジな話、この説明で分からないプログラマが居たら、恥ずかしがらずに「そんなんじゃ分からんわボケ」と言って欲しかったりする。

        • 俺に「簡単でしょ?」って言われても、俺は今発言しただけでその「元増田」じゃないからなあ

    • お前の、その穴だらけのクソテキストを全世界に公開するのは色んな意味でよろしくないのでやめましょうね 元ネタ>http://anond.hatelabo.jp/20080131103838

  • 初心者がPHPで脆弱なウェブアプリをどんどん量産しても構いません。 そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 ただその程度で経験...

    • そうやって公開された個人サイトが荒らされようが攻撃されようが知ったこっちゃありません。 いや、そんな風に言われると困る。 XSSやり放題で、CSRF仕掛けられちゃうような Webアプ...

  • 相変わらずケツ語だけ見て脊髄してる奴が多いなあ。その前の4段落くらいの内容なんて全く頭に残ってないだろ(w で、要はアレだ、上級者やそのへんの上の人たちに対しては 初心者が...

    • 何が言いたいの? 初心者をシャットアウトしろという意見がもっともだと思うなら、まずお前の厨房レベルの言い訳を訂正しろよ。 # あと「シャットアウトしろ」という表現は、間違っ...

  • http://anond.hatelabo.jp/20080130215148 極論過ぎるだろうけど、考え方は間違ってないと思う。 今セキュリティのプロ気取ってるやつらも最初は初心者だったんだから。

  • 「よーしもうちょっとで公開できるなー ちょっと手を抜いたからセキュリティは甘いかもだけど絶対面白いしいろんな人が喜んでくれるはずだしきっと有名に…… >Webアプリをなめる...

  • うわー。その通りだよ。PHPは使ったことないが。 まず、何をしたら、何をしなければ、安全になるのかよくわからない。 次に、自分の書いた物は自分で見ても、どこがまずいのかわか...

    • 仕事で使ってる人とか、仲間内でやってる人が多いんじゃないかと思うけど。。。 初心者でサービスを作るなら、URLを公開しないか、公開するならBASIC認証をかける程度の事をやってお...

  • 初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。具体的に。 まぁ、下請けで仕事してるこっちの身になればクソコードを量産するPHP初心者はマジ...

  • ここ最近のPHPはセキュリティ云々って話、「化石燃料燃やすと温暖化とか環境に悪影響が出るから発展途上国の皆さんはも少し環境に気を使えよ(はぁと)」っていう先進国の言ってるこ...

    • 似てないよ。仕事ないのは同情するけど。 今はインターネットの利用者がとても多いし、10年前よりもセキュリティ意識が格段に高いけれど、そういう過去の鷹揚な時代に乗り遅れたのは...

  • anond:20080130215148 まあ、こうやって騒いでも、ああやって騒いでも・・・。 初心者さんは、見ていないものです。。。 それよりも、分かる人はそんなこと無視して、 初心者さんのための...

  • 基本的には完全同意。 もう初心者は肥だめに落ちたブタのようなクソコードを量産しまくって、公開しまくって失敗しまくれ。 問題はあなた方のような「やる気のある初心者」じゃなく...

  • 要は個人が作って無償で公開するようなサービスならPHPだろうが大量に脆弱性作りこもうが好きにしろってことで, 業務でコード書くならセキュリティをちゃんと考えなければダメだっ...

    • 趣味プログラマの初心者はサービスを「公開」しちゃ駄目でしょ。クローズドな所でやっとけ。

      • 公開するのはOKだと思うが、他人の個人情報とか預かっちゃだめって事じゃない。 XSS脆弱性はそもそも信用されていないサーバーだろうから、あまり問題ないし。 SQLインジェクションで...

  • おまいの言うとおりだ。 初心者は脆弱性なんかに気を遣わなくてもおk。 どんどん書いて、どんどん失敗して、覚えてゆくものだ。

    • 踏み台にされるリスクさえ分からん初心者にはインターネットでサービスを公開するなと言いたい。 簡単な認証も書けん奴はWebサービス公開すんな。

    • 同意だよ。 初心者が本当に注意しなければいけないのは、スクリプトの脆弱性よりもサーバーのセキュリティ。 PHPなら大抵どこのレンタルサーバーも利用可能なので殆ど問題がない。 初...

      • root権限奪取とか、SQLインジェクション持ち出されても、はいそうですねとしか言いようがない。 あと PHPだから安全、みたいな事を言うのも必ずしも正しくないし、有害なのでやめれ。 ...

  • http://anond.hatelabo.jp/20080130215148 その通りだと思った。 いいじゃん別に!いろんな人がプログラミングに接せられるようになった方が、もっと嬉しくないの? それが。php、perl、rubyだとし...

    • いや、元増田の「分からんから開き直る」という態度はアマチュアでもプロでも害悪でしかないぞ。おまけに自分はリスクを取らず無知な人を煽ってるのが卑怯すぎる。 というか、Webで...

  • http://anond.hatelabo.jp/20080130215148 ほんとほんと。 はてなにだってすごい脆弱性がある。 最近更新されたダイアリー一覧とかいうのがある。 無限に過去をさかのぼって一覧をみることができ...

    • お前らのその「赤信号みんなで渡れば怖くない」的な責任回避が気に入らない。あと何を知ったかぶりたいのか知らないけど、その程度で「構造的脆弱性」とか「システム設計(笑)がいか...

      • ヨコレス。 アカウント名を他人に知られることは別に危険ではない。"ID"と"パスワード"で2元的に管理してるだろ?パスワードが容易に推測できる場合が問題なだけ。誤ったセキュリテ...

        • 君が何を言ってるのかわからないよ セッション維持にIDを使う設計がクソなだけで、それと(まっとうに設計されている)システムでのID公開は別じゃん

          • まじで? なんで俺まで噛みつかれちゃったんだろ。 セッションハイジャックなんかの話はしてないつもりだよ。 ログイン用のアカウントは収集可能なところに晒さないのは当然の流れな...

            • ログイン用のIDがばれたらIDが判らないよりその人のアカウントは盗みやすくなるよね? それはパスワードの強度が足りないだけであって、IDを秘密にすべき理由にはならないよ。 IDを...

              • なんでこんなに強情なんだろう? ・パスワードの強度はユーザー依存 ・IDが隠蔽されていたら特定のユーザーを狙うことができない ・IDバレした状態でパスワードが20文字あるよりも、I...

                • ・IDバレした状態でパスワードが20文字あるよりも、IDが隠蔽された状態で6文字のPASSの方が強度がある これはおかしい。 IDなんて、大抵辞書に載ってそうな言葉なんだから、IDバレ&...

                  • ベストなのは秘密ID20文字+パスワード20文字ていう結論ですか? 銀行の暗証番号を誕生日4桁に設定するなんてもってのほかだと思うけれど、IDが知られなければ特定個人へのクラックも出...

            • IDやその人自身の属性に関連したパスワードをつけてしまうアホを考えると、確かにIDは知られにくい方が良いように思えるかもしれない。 そういったアホに対して、IDも知られない方が...

  • こういう論争にすぐ発展するから、にわかプログラマーが離れてくと思うんだ。 変なものを作ると、自分が発端で火種になってしまう。 続けられるかどうかわからない初心者が 「セキュ...

  • 俺はプログラマじゃないからよくわかんないけど、 セキュリティーホールだらけのウインドウズ作ってるのって、 そこらへんのえらそうなこと言ってる人たちより 優秀なプログラマなん...

    • Windowsはソースコードが何千万行もあるらしいからねー。 使いまわしもあるだろうし、セキュリティホールが全くないものを書くのはものすごく難しいと思う。もちろんプログラマは超優...

      • ふーん、そうなんだ。 やっぱりMSの人たちってプログラムの世界じゃトップクラスなの? その人たちでもセキュリティーは完璧じゃないってこと? でも、その人たちから見たら、そこら...

        • プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

          • プログラマとしてトップレベルであることと、セキュリティに精通してることって次元が違う気がするな。穴を見つけることに関しては、脆弱性の検査とかしてる人のほうが詳しそう。 ...

  • 初心者のくせにいきなり高木浩光の言ってることを理解しようとするのが間違いというかアンラッキーというか空気が読めてないというか。 あんなの始めは理解できなくたって良いんだ...

  • どこに書こうか迷ったが・・・。 問題は、プロが作るべきシステムなのに初心者(としか思えない)が作っていることが多い、ということじゃないのだろうか。 はまちゃんの言うとおり、...

    • そうだね・・・。 びっくりするほどな人が混じってたりするのは排除できない。 さすがにフリーランスで動いているひとにそういう人はいないのだけど、 企業所属だとアルバイトが普通...

  • http://anond.hatelabo.jp/20080130215148 >初心者がお手軽にPHPで作ったウェブアプリのせいで実際にどんな被害が出たんだよ。 被害がでたことがわからないのがネット攻撃なんだがな。ほんとに...

  • 私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。 なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ...

  • こういう初心者を励ましてくれる人を見ると、すごく嬉しい気持ちになる。

  • 10年前の増田だけども https://anond.hatelabo.jp/20080130215148

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん