TSfree 発言

Bruce.です。

>   てな感じでよろしいでしょうか？ > Bruce. さん

Oui, monsoeir.
#う、スペルこれでよかったっけ?(^^;


ねこ丸 writes:

>   一つの考え方ではありますが、本来同じ考え方、同じ対策でよいのに、複数
> の異なる脆弱性があるかのように読める部分は無駄、あるいは誤解のもと、と
> も言えます。
> 
>   上の記事を書いた人は以前から高木さんに手ひどく突っ込まれていることが
> ある（顔見知りらしいですが）ので、そのスジをチェックしている人の間では
> ちょっとした有名人ですね。恐らく今回のフリはそれも踏まえてのものなんだ
> と思います。

あー、見覚えがあると思ったらあの人ですか。
んで、記事の目的そのものは悪くない。むしろ良いというのは
云えると思います。
#その手の記事を見ることがあまりにないので

ただ、構成にちと難があるのではないかいな。というところです。

>   どういう利用のシーンでどういうチェックを行うかが、もう少しきれいにま
> とまっていたらよかったかなぁという感じはしますね。まぁ今回は単に脆弱性
> を列挙するだけの記事のようですから、それは贅沢言いすぎでしょうけど。
>   個人的には「悪意のあるファイルを読み込んで実行」とか「オブジェクトの
> 直接参照」みたいな分け方は、変に問題をややこしくしているような印象を受
> けます。悪意の有無に掛からず、予期せぬリソースの読み込みが起こらないよ
> うにするにはどうしたらよいか？と考える必要があるわけですし、この二つが
> 分かれてるのにインジェクションは一緒くたってどうなんだ、とも思います。

ですね。

サニタイズ云々の話がありましたが、外から入力を元に何かアクションを
起こすのなら果たして妥当なものであるかどうかをチェックするのは鉄則
だと思います。
たとえばファイルの取り込みで云うと、サニタイズはディレクトリトラバーサルには
対処できませんので、サニタイズしときゃあいいだろうというのは間違いです。

とりあえずPerlのtaintチェック(Rubyの$SAFEでのチェック)のように、
外からの入力をそのままコマンドなどに放り込もうとしたときに自動的に
チェックされる仕掛けがあってもいいんじゃね? ＞PHP
というのがあとひとつ。

藤岡さんの紹介した本ですが、アメリカに絞って検索してもろくに引っかかりませんねえ。
どんな内容なのか良くわからない。


いじょ。