はてなキーワード: サニタイズとは
みんな、どのくらいまでセキュリティ対策してる?
俺の場合は、、、
使用するパラメータ(標準入力(POST)、環境変数、クエリストリング)を全てチェックして、
必要に応じてパラメータを削除/エスケープ/クォート/サニタイズすればいいのかなあなんて、思ってるんだけど、
実際のところ、どこまでやればいいのか検討つかないや。
DOS攻撃にそなえて、アクセスしてきたIPアドレスは常に解析して、動的にアクセス拒否する必要があるのかとか、
アクセス集中にそなえて動的コンテンツをキャッシュするだの、サーバのクラスタリングだの、ロードバランサー設置とか、
バックアップは何分おきにやるのかとか、
午前三時にメンテナンスのために作業するのかとか、
地震地帯を避けつつ、法律問題を回避できる国で、税金とエネルギーの安い土地にサーバルームを作って、
サーバを鎖で縛って、電磁波遮断して、部屋にかぎ掛けて、クーラー効かせて、元特殊部隊の人をガードマンに雇って、
最終的にはサーバを核シェルターに入れて、あらゆる攻撃から守らなくちゃいけないのかなあ。
ああ、憂鬱だ。
高専の化学っぽいところ出て、大学の化学っぽいところに編入して、
東京来て、初めての仕事でPHPで、誰に頼ればいいかもわからず、
使ってた言語?VB4とHSP2でしたが何か。
初めての仕事で学んだこと
その後もいろんな会社で
とか、けっこう酷いことをして、たくさんの人に迷惑をかけましたが、
今ではそれなりにIT土方をやっている。
…という俺から見ると、PHP初心者罵倒は、見るたびに、なんだか恥ずかしさを思い出す。
ああ、明日も仕事だし、勉強するね。うん。みんなごめんなさい。それは全部俺がやった事です。
あれです。
ごめんなさい。
http://hatena.g.hatena.ne.jp/hatelabo/でアナウンス無いけど。そういうことは恥ずかしいからid:wanparkはアナウンスしないか。
一部の部外者(kyoumoeとか、kyoumoeとか、あとはkyoumoeとか)と多くの当事者にとって、はまちちゃんのやり方は迷惑極まりない。
でも、はまちちゃんが脆弱性をいたずら目的で公開することで、その脆弱性が修正され、関連する問題について認知が広まっていることもまた事実。
(恥ずかしながら、私、CSRFを知ったのは「こんにちはこんにちは!」しちゃったのがきっかけですの……)
正しいといわれている手順を踏んだからといって、それが最善のパフォーマンスを出すとは限らないのですよね。
ひろみちゅが超必死になって「サニタイズいうな」とか言って回るより、はまちちゃんが「こんにちはこんにちは!」したほうが効果的だったりするんだから。(あくまでそういうケースがあり得るというだけの話)
ところで、はまちちゃんは人を怒らせることをなんとも思っていないことじゃないかと思う。
こういう人に向かって怒りを顕にしても、スルー力を忌憚なく発揮されてしまいます。それぐらい察しろといいたいところ(怒るのではなく、もっと冷静に対処しようって意味ね)だけど、当人は怒っているんだから無理な相談でした、残念。