2008-02-01

WEBアプリセキュリティ対策はばっちり?

みんな、どのくらいまでセキュリティ対策してる?

俺の場合は、、、

使用するパラメータ標準入力(POST)、環境変数クエリストリング)を全てチェックして、

不正ならエラーを吐いて中止。

必要に応じてパラメータ削除エスケープ/クォート/サニタイズすればいいのかなあなんて、思ってるんだけど、

実際のところ、どこまでやればいいのか検討つかないや。

DOS攻撃にそなえて、アクセスしてきたIPアドレスは常に解析して、動的にアクセス拒否する必要があるのかとか、

アクセス集中にそなえて動的コンテンツキャッシュするだの、サーバクラスタリングだの、ロードバランサー設置とか、

バックアップは何分おきにやるのかとか、

午前三時にメンテナンスのために作業するのかとか、

ポテトチップスを食べた手でキーボード触るなとか、

地震地帯を避けつつ、法律問題を回避できる国で、税金エネルギーの安い土地にサーバルームを作って、

サーバを鎖で縛って、電磁波遮断して、部屋にかぎ掛けて、クーラー効かせて、元特殊部隊の人をガードマンに雇って、

最終的にはサーバ核シェルターに入れて、あらゆる攻撃から守らなくちゃいけないのかなあ。

ああ、憂鬱だ。

  • HTMLやシェルやRDBとか、他のプログラミング言語として解釈されそうな文字列をエスケープしてればおkですよ。 あとは処理系とApacheのセキュリティアップデートをこまめにやっとけ。 Web...

    • セキュアなプログラミングどころか、サーバ管理なんてやりたくないと思うのは邪道でしょうか。 CGIを設置できる無料サーバをついつい探してしまうw

      • サーバ管理なんてやりたくない ありだと思うよ。というかそれが自然な考え方だと思う。そこでスキルアップをしたいんでなければ、管理するものは少ないほうが楽だよね。

    • HTMLやシェル(ファイル名)やRDB(SQL)とか、他のプログラミング言語として解釈されそうな文字列をエスケープしてればおkですよ。 あとは処理系とApacheのセキュリティアップデートをこま...

    • そこでCSRFですよ。 ...実際セッションまわりまで気を配ってるやつなんているのかなぁ。

  • それでも仕様変更

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん