みんな、どのくらいまでセキュリティ対策してる?
俺の場合は、、、
使用するパラメータ(標準入力(POST)、環境変数、クエリストリング)を全てチェックして、
必要に応じてパラメータを削除/エスケープ/クォート/サニタイズすればいいのかなあなんて、思ってるんだけど、
実際のところ、どこまでやればいいのか検討つかないや。
DOS攻撃にそなえて、アクセスしてきたIPアドレスは常に解析して、動的にアクセス拒否する必要があるのかとか、
アクセス集中にそなえて動的コンテンツをキャッシュするだの、サーバのクラスタリングだの、ロードバランサー設置とか、
バックアップは何分おきにやるのかとか、
午前三時にメンテナンスのために作業するのかとか、
地震地帯を避けつつ、法律問題を回避できる国で、税金とエネルギーの安い土地にサーバルームを作って、
サーバを鎖で縛って、電磁波遮断して、部屋にかぎ掛けて、クーラー効かせて、元特殊部隊の人をガードマンに雇って、
最終的にはサーバを核シェルターに入れて、あらゆる攻撃から守らなくちゃいけないのかなあ。
ああ、憂鬱だ。
HTMLやシェルやRDBとか、他のプログラミング言語として解釈されそうな文字列をエスケープしてればおkですよ。 あとは処理系とApacheのセキュリティアップデートをこまめにやっとけ。 Web...
セキュアなプログラミングどころか、サーバ管理なんてやりたくないと思うのは邪道でしょうか。 CGIを設置できる無料サーバをついつい探してしまうw
サーバ管理なんてやりたくない ありだと思うよ。というかそれが自然な考え方だと思う。そこでスキルアップをしたいんでなければ、管理するものは少ないほうが楽だよね。
HTMLやシェル(ファイル名)やRDB(SQL)とか、他のプログラミング言語として解釈されそうな文字列をエスケープしてればおkですよ。 あとは処理系とApacheのセキュリティアップデートをこま...
そこでCSRFですよ。 ...実際セッションまわりまで気を配ってるやつなんているのかなぁ。
それでも仕様変更