TSperl 発言

On Thu, 31 May 2007 03:30:16 +0900
"Bruce." <kbk@...> さんwrote:

> デフォルトで有効だと思ってたんですけどねえ。
> まあ安全方向に倒れていたということで良しとしましょう。

　同じスクリプトを試しているわけではありませんが、コマンドラインとCGIで
動作が違うのが、気になりますけどね。Perl5.8でもコマンドラインであればそ
のまま動作しますね。

> 世の中には予想以上にコード片の拾い喰いをして腹を壊している人が
> いるようです。
> 藤岡さんのようにコードを世に晒す人はぜひともその辺をご考慮いただきたく。

　今回の例もセキュリティは頭を過ぎりましたが、深刻な問題はないはずと判断
したのですね。もっとも(?{ code })の話は知りませんでしたが。

　セキュリティの問題は確かに重要です。だから、WebでCGIを実際に動作させる
場合には、いかに僕でも注意すると思いますね。僕はCGIについて書いてある本
で、XSSなどのセキュリティの問題について書いてあるのをこれまで見たことな
いですけど(古いか、よく読んでいないせいかもしれないですけど)、最近のCGI
本には書いてあるのでしょうか。Webではいろいろと記事があるので大変参考に
なってありがたいのですが、まだまだ、ノウハウのレベルに留まっているのでしょ
うか。

　趣味程度で腹を壊すぐらいなら大した問題ではないでしょうが、少なくとも
Web上で仕事をされるなら、Webのセキュリティについては別途勉強する必要があ
るでしょうね。僕も系統的に勉強したいですけど、何か良い書籍はありますか。

藤岡 和夫
kazuf@...
日曜プログラマのひとりごと http://homepage1.nifty.com/kazuf/renewal.html