Webアプリケーションセキュリティ関係
先日行われた2つのイベントについてのレポートをみると、サニタイズ(無害化)という言葉についてそれぞれ似たような事を述べられてますね。
- セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 (MYCOM PCWEB)
- 情報セキュリティEXPO - ネガティブポリシーからポジティブポリシーへの転換 (MYCOM PCWEB)
その上で先日IPAが発表した「ウェブサイトの脆弱性対策の緊急チェックポイント」について「『チェックポイント』というからにはこれに従って簡単にチェックが行えなければ意味が無いが、例えば『入力の無害化』と一口に言っても何を持って害とするかはサイトによって異なるし、『見慣れないファイルやプログラムが置かれていないか』に至っては、悪意を持ったプログラムが見慣れたプログラムのふりをしていたらどうしようもない」などと内容を批判。