アカウント名:
パスワード:
DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。独自の脆弱性があるだろうけど突かれる恐れが低いし安全。
例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。
XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。
既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。
とりあえず、HTTPとHTMLを使うのをやめることから始めようか。
TCP/IPとか公共網を使うのをやめるのも重要
独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
独自実装の魅力 (スコア:0)
DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。
用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。
独自の脆弱性があるだろうけど突かれる恐れが低いし安全。
Re: (スコア:0)
例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。
だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。
独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。
Re:独自実装の魅力 (スコア:0)
XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。
既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。
独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。
Re: (スコア:0)
とりあえず、HTTPとHTMLを使うのをやめることから始めようか。
Re: (スコア:0)
TCP/IPとか公共網を使うのをやめるのも重要
Re: (スコア:0)
独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。
独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。