パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Cookieを使用したSQLインジェクション」記事へのコメント

  • by Anonymous Coward
    これこそ高木先生が展開していた「サニタイズ言うなキャンペーン [takagi-hiromitsu.jp]」のターゲットとなる好例ですな。GETやPOST以外からでもデータは入ってくるんだよ、ということで。

    # と私は解釈しているのだが間違ってますかね。
    • Re: (スコア:1, すばらしい洞察)

      by Anonymous Coward
      誤解が誤解を生んでる好例に見えた。そのキャンペーン自体くだらないと思ってる派ですが
      • Re: (スコア:1, すばらしい洞察)

        by Anonymous Coward
        くだらないというなら、こんなのに引っかかる連中の方でしょ?
        考える力が足りないから何度も同じようなSQLインジェクションに引っかかるし、サニタイズ言うなキャンペーンも誤解する
        全くどうかしてる
        • 連中ってどの範囲を指しますか?
          1. そのようなコードを書いた本人
          2. そのようなコードがあることを見逃して納品した開発チーム or 開発チームリーダ or プロジェクトマネージャ
          3. そのようなコードがあることを見逃して検収を完了させた発注元
          4. そのようなコードがあることを知らずにサーバ上に乗っけているインフラチーム
          5. そのようなコードがあることを知らずに運用させている発注元の経営者
          6. そのようなコードがあることを知らずに利用しているユーザ
          ちなみにこの時、一番被害を蒙るのはどこでしょうか。

          • by Anonymous Coward
            「連中」とは1,2、被害を被るのは6じゃない?

            ところでサニタイズ言うなキャンペーンは誰が対象ですか?
            1. そのようなコードを書いた本人
            2. そのようなコードがあることを見逃して納品した開発チーム or 開発チームリーダ or プロジェクトマネージャ
            3. そのようなコードがあることを見逃して検収を完了させた発注元
            4. そのようなコードがあることを知らずにサーバ上に乗っけているインフラチーム
            5. そのようなコードがあることを知らずに運用させている発注元の経営者
            6. そのようなコードがあることを知らずに利用しているユーザ

            ちなみにこの時、サニタイズwやら文字のエスケープを意識すべきなのはどこでしょうか。

            #なんなの?この人??
            • フツウは被害者と「罠にかかる」人が一致していないと、マヌケとは言わないのでは。

              被害を蒙らないことをいいことに意図して罠にかかっている場合を考慮しているのかどうか。
              もし、そういう人もマヌケと呼ぶのなら、タブン私と #1432720 のAC氏とはマヌケの定義が違うのでしょう。

              と、それはおいといて。
              プログラムの作成を発注して意図して穴を残された場合、どこまで瑕疵責任を負わせることができるのでしょう。
              IT法務ライブラリ [nikkeibp.co.jp]の記述を見ると、

              過去の裁判例を検討すると,システムの処理速度に関する瑕疵が「重大な瑕疵」と判断されているケースが目につきます

              とあるわけで

              • サイバーノーガード戦法 [wikipedia.org]なら企業が被害者になることは無いのでいくらでもばっちこいなのでは?
                原因が把握され対応もできる脆弱性が敢えて放置されるのはそれを放置しても(利用者はどうかしりませんが)企業は困らないからだと思いますよ。
                そして既にそれがデファクトスタンダードになりつつあるから自分のとこがそうでも気にしないのでは?ならば、そもそものところでSQLインジェクション問題が無くなるわけがないと思われ。
                --
                ◆IZUMI162i6 [mailto]
                親コメント

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...