自分で実際にセキュリティ的にガチガチのソースを書くかどうかは別として、セキュリティ的にはどう書くのが正しいのかが正しいのかは知っておきたいので、色々ネットサーフィンしていたらOWASP(Open Web Application Security Project)というプロジェクトを見つけました。
そこにあるFAQがかなーり勉強になります。XSS、SQLインジェクション、バッファオーバーフローぐらいしか興味なかったのですが、セキュリティホールの傾向と対策って結構面白いですね。
でも一通り読んで、ソースコードレベルでセキュリティ対策をきっちりやる、というのは費用対効果という意味で実際にやるのはありえないという確信を持ちました。
有識者を集めて、全てのソースコードをレビューするのは現実的には不可能。精々がJTestみたいな静的チェッカを利用して底上げを図るぐらいでしょうか。
逆に、自分がアタックする立場だと仮定したら、基本はポートスキャンかけて穴があればそこから入るか、内部の人間を買収するかという辺りをまず考えますけど、特にこのダメダメ業界では色々と恨み辛みを持っている人は多いと思うので、後者の方が確実な気がw
と、ここまで書いていてふと思ったのですが、新入社員当時に、上記の様なこと(その時はセキュリティネタじゃないけど)を言っていた上司と、きっちりやらないとダメでしょと主張してケンカしていた自分を思い出してしまいますた。
あの頃は若かったというか、歴史は繰り返すっていうか....
そこにあるFAQがかなーり勉強になります。XSS、SQLインジェクション、バッファオーバーフローぐらいしか興味なかったのですが、セキュリティホールの傾向と対策って結構面白いですね。
でも一通り読んで、ソースコードレベルでセキュリティ対策をきっちりやる、というのは費用対効果という意味で実際にやるのはありえないという確信を持ちました。
有識者を集めて、全てのソースコードをレビューするのは現実的には不可能。精々がJTestみたいな静的チェッカを利用して底上げを図るぐらいでしょうか。
逆に、自分がアタックする立場だと仮定したら、基本はポートスキャンかけて穴があればそこから入るか、内部の人間を買収するかという辺りをまず考えますけど、特にこのダメダメ業界では色々と恨み辛みを持っている人は多いと思うので、後者の方が確実な気がw
と、ここまで書いていてふと思ったのですが、新入社員当時に、上記の様なこと(その時はセキュリティネタじゃないけど)を言っていた上司と、きっちりやらないとダメでしょと主張してケンカしていた自分を思い出してしまいますた。
あの頃は若かったというか、歴史は繰り返すっていうか....
1票
悪意のある/なし
に関わらず。:-p