高木浩光＠自宅の日記

高木浩光＠自宅の日記

目次はじめに 連絡先:blog@takagi-hiromitsu.jp

訪問者数本日: 2216 昨日: 1295

2006年02月02日

■ 掲載されなかったamazon書評

1月14日の日記を書いた後、amazon.co.jpの当該書籍に書評を投稿した。amazonの書評の投稿は初めてだったので、レビューガイドラインを読みながら書いたのだったが、残念ながら採用されなかったようだ。以下に投稿した文を掲載しておく。

セキュリティへの配慮が欠落した脆弱本, 2006/1/15

レビュアー：高木浩光 (東京都) - レビューをすべて見る

この本にはセキュリティ脆弱性を防止する観点が完全に欠落している。サンプルコードの大半にクロスサイトスクリプティング脆弱性があり、ログイン機能を作ってみせる例題では、典型的なSQLインジェクション脆弱性があって、パスワードに「'or'A'='A」と入力するだけで誰でも認証をスキップして不正ログインできてしまう。これらHTML出力、SQL文の構成に関する正しいコーディング手法は、後付けの「対策」として学ぶのではなしに、最初の段階で叩き込むべき最も基礎的な事項である（でなければ、セキュリティ以前に正しい動作さえしない。例えばログイン機能の例題プログラムでは「'」を含むパスワードを利用するとエラーになってしまう）PHPはそれ自身Web用言語であるのだから、「セキュリティのことは後で」という言い訳はありえない。消費者の個人情報を危険にさらす欠陥Webサイトは、孫請け零細業者に雇われた素人プログラマが、こうした本だけを頼りに作っている。脆弱プログラマを量産する著名な脆弱書籍の罪は大きい。著者らはその社会的責任を知るべきである。

■ JVNはやっぱり駄目

以下はJVN: 株式会社はてなの JVN#77886599 への対応から 2月1日時点の内容の転載。

公表日 2006/02/01
最終更新日 2006/02/01
状態 : 該当製品あり 	JVN#77886599
　
製品開発者からの提供情報

    修正済みです。

更新履歴
（略）

何？これ。「修正済みです。」だけ？

誰（どの組織）が書いたか不明（JVN編集者が書いているようにも読めなくもない）なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。

本日のTrackBacks(全100件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20060202]

▼ naoyaのはてなダイアリー: JVN のシステムの話 (2006年02月03日 11:18)

誰（どの組織）が書いたか不明（JVN編集者が書いているようにも読めなくもない）なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。それ書いたの僕なわけですが。マニ..

▼ うさぎ文学日記:[本]２冊は同じ作者 (2006年02月03日 12:14)

高木先生んとこで、褒められてる「おススメの本その1」の監修の人と、クソミソにけなされてる」掲載されなかったamazon書評」の著者が山田祥寛さんという人で、同じ人だ。偶然？ｗ良くも悪くも注目を浴びているなぁ。残念ながらこの2冊はまだ読んだことがないけど、こ..

▼ TWILIGHT TWINKLE STAR ☆:はてなツールバーの件とid:naoya:20060203と (2006年02月04日 00:07)

記事書いてるんですがアップしようか悩んでるんですがどうしよ。とりあえずまとめだけ引用つーか引用もとは自分の文章なんだけど。 http://jvn.jp/jp/JVN%2377886599/034617 これは「はてなツールバー」の不具合に対する記述である。修正により、はてなツールバーは更新..

▼ 無体DQNメント:[技術][ヲタ]消費される言葉 (2006年02月11日 08:09)

つまり、「サニタイズ」という用語が、各人の都合でどんな意味にも解釈されるという、「汚れた言葉」になっており、専門用語として使い物にならなくなっているのだ。もはや、「サニタイズする」は「セキュリティ対策する」と同義でしかない。そういう言葉には存在価値が..

▼ Hetero handjob fan club.:How to give a handjob. (2009年10月29日 02:18)

Free handjob movies. Handjob gallery.

本日のリンク元

はてなダイアリー [naoya 20060203] ×1532 : 1485, 35, 10, 1, 1 (2018-12-06)
はてなダイアリー [JavaBlack 20060207] ×17 : 12, 3, 2 (2018-07-27)
https://www.google.com ×5 (2018-04-23)
はてなダイアリー [JavaBlack] ×94 : 44, 10, 6, 4, 3, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2017-12-21)
スラッシュドットcomments [439624] ×108 : 26, 22, 16, 14, 5, 3, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2014-08-04)
はてなダイアリー [naoya] ×749 : 696, 17, 5, 4, 3, 3, 3, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2014-05-03)
スラッシュドットarticle [09/02/18/0034228] ×61 : 47, 9, 3, 2 (2012-08-11)
はてなダイアリー [JavaBlack 20120415] ×40 : 30, 6, 4 (2012-04-30)
Seesaaブログ [hateb] ×2 : 1, 1 (2010-12-10)
はてなブックマークコメント ×47 : 37, 3, 2, 2, 1, 1, 1 (2009-12-26)
はてなダイアリー [JavaBlack 20060203] ×40 : 30, 10 (2007-07-19)
Seesaaブログ [yocc] ×4 : 2, 1, 1 (2007-07-14)
http://itnavi.net/news200602.html ×10 (2007-05-26)
はてなダイアリー [dim 20060205] ×17 : 16, 1 (2007-04-07)
http://materia.jp/blog/20060203.html ×12 (2007-03-27)
はてなダイアリー [sen-u] ×24 : 21, 1, 1, 1 (2007-01-27)
http://hsj.jp/junknews/2006/02/ ×8 (2006-08-22)
http://toshswebsite.com/amaxoop2 index.cid 23.htm ×4 (2006-06-27)
ココログ [stressfulangel cocolog] ×32 : 28, 2, 1, 1 (2006-06-01)
http://www.atransia.co.jp/home/fukamachi/Diary/2006/04/02/ ×6 (2006-04-05)
はてなダイアリー [dim] ×12 : 11, 1 (2006-03-17)
はてなダイアリー [keyray 20060211] ×33 : 25, 7, 1 (2006-03-10)
http://club.h14m.org/kenji/diary/?200602c ×7 (2006-02-27)
http://club.h14m.org/kenji/diary/ ×55 (2006-02-27)
はてなダイアリー [keyray] ×26 : 22, 3, 1 (2006-02-20)
http://shin.cside.com/diary/2006/02.htm ×32 (2006-02-10)
http://muu.moo.jp/newslog.shtml?month&2006&02 ×7 (2006-02-10)
http://muumoo.jp/newslog.shtml?month&2006&02 ×5 (2006-02-08)
スラッシュドットjournal [visha] ×94 : 84, 10 (2006-02-07)
mixi diary [3526] ×5 (2006-02-06)
はてなダイアリー [FukayaAruto 20060204] ×37 : 35, 2 (2006-02-06)
はてなダイアリー [naoya 20060204] ×5 (2006-02-06)
http://muumoo.jp/targetlog.shtml?20060205&2 ×5 (2006-02-05)
http://muumoo.jp/index.shtml ×10 (2006-02-05)
はてなダイアリー [sen-u 20060203] ×104 : 91, 5, 4, 3, 1 (2006-02-05)
http://takabsd.jp/d/?date=20070306 ×18 (2006-02-04)
はてなダイアリー [k3c 20060203] ×12 : 9, 2, 1 (2006-02-03)
http://www.ranpub.com/~ran/diary/ ×5 (2006-02-03)
はてなダイアリー [k3c] ×4 (2006-02-03)
http://szap139.trd.necat.nec.co.jp/bbs/trees.cgi?log=&v=2199... ×6 (2006-02-03)
http://cabinet.trd.necat.nec.co.jp/bbs/trees.cgi?log=&v=2199... ×31 (2006-02-03)
はてなダイアリー [quintia] ×4 (2006-02-03)
はてなダイアリー [quintia 20060203] ×10 (2006-02-03)

検索

amazon 書評 ×56 / amazon ×24 / キーワード不明 ×24 / JVN ×22 / jvn ×20 / アマゾン書評 ×8 / Amazon 書評 ×7 / 書評 ×7 / 書評 amazon ×7 / amazon クロスサイトスクリプティング ×7 / 高木祥 ×6 / 高木浩光 amazon ×5 / 高木産総研 ×5 / amazon書評 ×5 / はてな amazon ×5 / Amazon ×5 / はてなツールバー不具合 ×5 / mixi 不正ログイン ×5 / 高木の神 ×5 / 高木素人プログラマセキュリティ ×4 / SQL文 Amazon ×4 / アマゾン書評 ×4 / ://takagi-hiromitsu.jp/diary/ JVN ×3 / amazonの書評 ×3 / amazon レビュー掲載 ×3 / amazon書評投稿 ×3 / アマゾンの書評 ×3 / JVN 高木 ×3 / 高木浩光 Amazon ×2 / 高木浩光脆弱本 ×2 / はてなツールバー削除 ×2 / AMAZON 書評 ×2 / 高木浩光産総研 ×2 / はてな ruby -hiromitsu.jp ×2 / 脆弱本 ×2 / AMAZON ×2 / -hiromitsu.jp SQLインジェクション ×2 / 高木神 ×2 / 孫請けプログラマ ×2 / おススメの本高木浩光＠自宅の日記 ×2 / 用語サニタイズ ×2 / 高木浩光書籍セキュリティ ×2 / 産総研高木 ×2 / 高木祥 ×2 / info:http://takagi-hiromitsu.jp/diary/20060202.html ×2 / サニタイズ -hiromitsu.jp ×2

2006年02月02日

■ 掲載されなかったamazon書評

■ JVNはやっぱり駄目

最近のタイトル