『セキュア・プログラミング講座』スタート 14
ストーリー by yourCat
啓蒙はセキュリティの第一歩 部門より
啓蒙はセキュリティの第一歩 部門より
youkan曰く、"3/1にアップされたIPAの『セキュア・プログラミング講座』、「ソフトウェア開発の現場で活躍されている技術者の皆様に,セキュリティ脆弱性をもたないようにプログラミングするテクニックの一端について紹介する」具体的な内容の解説記事です。
日本語で読め、このくらいまとまったのも少ないんじゃないかと思います。Webプログラマは、いやプログラマでなくとも、いま話題の「クロスサイトスクリプティング脆弱性」をぜひとも読んでおきましょう。"
セキュアな開発に関しては日本語参考文献やwebページが確かに少ない。編集子はdeveloperWorks: Securityくらいしか読んでいないが、他にもお勧めはあるだろうか。
ともあれ件のページをIPAが公開している意義は大きい。背後にどんな問題が潜んでいるのかを知るためにも、ひとりでも多くの人に読んでもらいたい。
こういった啓蒙はもろ手を上げて賛成なのですが、 (スコア:2, すばらしい洞察)
# shellcode の送り込みまで実践する必要があるかは‥う~んどうだろ。
みんつ
知識自体は・・・ (スコア:2, すばらしい洞察)
つまりどうしても必要な知識というものはあるんだってことで納得してもらわないといけないですね。
さらにクラッカー云々、の場合には悪いやつだけ知っていて他の多くの人が知らない状態では、クラッカーしたい放題でとめることも出来ないしむしろ知識を広めて各自がこころがけたほうが有効、と説明するとか。
#でも文句をつける人はつけるんでしょうねぇ。まぁそんなに声は大きくないでしょうけど。
/.configure;oddmake;oddmake install
Re:こういった啓蒙はもろ手を上げて賛成なのですが、 (スコア:1)
でも,その程度(?)の攻撃も防げないプログラムはセキュアじゃないということでは?
# でも,最近はファイアーウォールがやポートフィルターが
# 頑張っているので意外に気がつかないセキュリティーホールが
# 多いんですよねぇ・・・・・
## 注:バッファー攻撃は意外に分かりやすい方
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
「クラッカー養成講座」になってますよ (スコア:1)
こういった情報をディスクローズした場合の懸念は、
初心者ハッカーの急増による被害の増加。
だと思うのですが、
そうであれば、当然、こうした基本的なセキュリティホールの対処を怠っているシステム管理者の質の問題にも言及する必要があると思われます。 そうであれば、このレベルの管理者(そんな人いるのか?)の啓蒙にもこうした講座は役立つと思います。
基本的には、隠しても問題の解決にはならない、わけですから。
ところで、こうした基本的なホールをついてくるウィルスを作る人って、 どういう人が多いんだろう?どっかにそういう統計とっている人っているんだろうか?
イメージとしては、暇な学生さんという感じなんだが。
Re:「クラッカー養成講座」になってますよ (スコア:1)
>どっかにそういう 統計とっている人っているんだろうか?
>イメージとしては、暇な学生さんという感じなんだが。
女子高生 [srad.jp]らしいです。
うじゃうじゃ
assert は止めよう (スコア:2, すばらしい洞察)
読んで assert の使い方が変なのに気がついた。
これじゃあデバッグを終えてプロダクツ版を(NDEBUGを入れて)ビルドする時
にはコードが消えてしまうよ。
「3-5 Javaのアサーション」 [ipa.go.jp]では、処理ロジックとアサーションの
棲み分けを論じているんだけど、、、
章ごとに別人が書いたのかしらん?
コンタミは発見の母
Re:assert は止めよう (スコア:2, 参考になる)
3-5 の「処理ロジックとアサーションの棲み分け」の節で注意しているのは2点めの間違いだと思います。ぼくは親コメントを読んで少し混乱したので補足しました。
「リリースビルドでチェックが行われないなら、デバッグビルドを出荷すればよい」という意見を持つ人がいれば、それには反論が必要になりますが、そういう人がいないことを願います……。
もちろん、コーディングのミス以外で seteuid がエラーを返すことを考えなくてもよいなら、2点めを気にする必要はないので result = ……; assert(result == 0); でいいです。
鵜呑みにしてみる?
下請から納品されたコードを見て (スコア:1, おもしろおかしい)
納品を拒否したい。
# それを言えない私は臆病者。
Re:下請から納品されたコードを見て (スコア:0)
Re:下請から納品されたコードを見て (スコア:0)
> それは最初にコーディング規約を設置しなかったあなたが悪いよ。
はい。普段はコーディング規約も用意するし、
コードレビューも行いますよ。
今回に関しては、昨夜自分の仕事が終ってから
上司に『これ、週明けに出荷だからヘルプに入っ
て』と言われて泣いていたんです。
# つまり、下請だけじゃなくてウチの会社もヘタ
# レです。もちろん、そんな会社で働いている自
# 分も。
ちなみにその
そもそも、読んで理解できないぢゃ。。 (スコア:1, 興味深い)
Re:そもそも、読んで理解できないぢゃ。。 (スコア:1)
「スタック」は基本情報処理(第2種)で出てくると思うので知ってる人は多いんだけど、「ヒープ」はあまり知ってる人はいなかったなぁ。
「ヒープ」に限らず、いちいち説明するのもかったるいので、その当たりのコードは結局私が面倒みることになって、
私の仕事が増える。
自分の仕事が増えると当然自分の配下のバグが増える。
バグが増えると自分にクレームが来る。
クレームが来ると遅くまでバグ修正。
あいつはバグばかりだすと同僚に言われる。
評価が悪くなり給料が減る。
なんて循環になるのが恐い。そんなの「知らないようぉ~」のほうがいいのかも?
初心者から脱却への第一歩 (スコア:1)
そういえば (スコア:0)
俺も早くそのくらいまで LV アップしたいです(しなきゃならん)。
つか、うちの会社はプログラマーは居ないんですけどね(セキュリティ屋さんだから)。