[PR]小規模ECサイトに最適なWAF、SiteGuard Lite
徳丸浩の日記
2009年03月28日
_IPAは脆弱性の呼び方を統一して欲しい
昨日の日記で、安全なウェブサイトの作り方とセキュア・プログラミング講座とでは使っている用語が異なることを指摘した。
違いを理解いただくために、簡単に一覧表にまとめてみた。
安全なウェブサイトの作り方 | セキュア・プログラミング講座 |
---|---|
SQL インジェクション | SQL注入 |
OS コマンド・インジェクション | コマンド注入攻撃 |
パス名パラメータの未チェック/ディレクトリ・トラバーサル | ディレクトリトラバーサル攻撃 |
セッションIDの固定化 | セッションIDお膳立て |
クロスサイト・スクリプティング | スクリプト注入(XSS) |
CSRF(クロスサイト・リクエスト・フォージェリ) | リクエスト強要(CSRF) |
HTTPレスポンス分割とキャッシュ汚染 | HTTPレスポンスによるキャッシュ偽造 |
メールの第三者中継 | メールの第三者中継 |
アクセス制御や認可制御の欠落 | ユーザ認証(本人認証)とアクセス認可 |
黄色に塗ったところが用語が異なる部分だ。安全なウェブサイトの作り方が概ね世間で使用されている用語に従っているのに対して、セキュア・プログラミング講座の方は独自用語を用いる傾向にある。私見としては、この種の用語はむやみに発明せずに、一般に使用されている用語に従うのがよいと考えているが、せめてIPAで発刊するコンテンツの中では用語を統一していだきたい。技術的に正確な議論をするには、まず正しい用語を使うことが出発点であるし、IPAには正しい用語の統一に関して、指導的な立場を期待されていると考える。
- https://www.google.co.jp/ ×100
- http://www1.tokumaru.org/d/20090328.html ×6
- http://www.tokumaru.org/ ×5
- https://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&... ×1
- https://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&... ×1
- https://www.google.com/ ×1
- https://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&... ×1
- http://www1.tokumaru.org/d/20110101.html ×1
- http://www1.tokumaru.org/d/20091019.html ×1
- http://kjunichi.cocolog-nifty.com/misc/ ×1
- PHP HTML 認可制御 対策 ×1 / IPAの呼び方 ×1 / 徳丸 ipa sql ×1 / 徳丸 ipa ×1 / コマンド注入攻撃 ×1 / •リクエスト分割やキャッシュ汚染 危険度 ×1 / HTTPキャッシュ偽造 キャッシュ汚染 ×1
[PR]小規模ECサイトに最適なWAF、SiteGuard Lite
HASHコンサルティング株式会社
最近の記事
- 2011年08月30日
- 1. RSSフィードをリダイレクトします
- 2011年07月01日
- 1.
- 2011年03月29日
- 1. PDO/MySQL(Windows版)の文字エンコーディング指定の不具合原因
- 2011年03月22日
- 1. PHP5.3.6からPDOの文字エンコーディング指定が可能となったがWindows版では不具合(脆弱性)あり
- 2011年01月27日
- 1. CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例
- 2011年01月04日
- 1. escapeshellcmdの危険な実例
- 2011年01月01日
- 1. PHPのescapeshellcmdの危険性
- 2010年10月03日
- 1. 問題点の概要
- 2010年09月27日
- 1. 文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
- 2010年07月25日
- 1. ツッコミSPAM対策で、ツッコミ抜きのRSSフィードを用意しました
- 2010年07月01日
- 1. ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
- 2010年04月06日
- 1. PROXY(プロキシ)経由でのDNSリバインディングと対策
- 2010年04月05日
- 1. JavaアプレットのDNSリバインディングはJRE側で対策済みだった
- 2010年03月29日
- 1. DNSリバインディングによる無線LANパスフレーズの読み出しに成功
- 2010年03月25日
- 1. DNSリバインディングによるルータへの侵入実験
- 2010年02月22日
- 1. ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された
- 2010年02月12日
- 1. かんたんログイン手法の脆弱性に対する責任は誰にあるのか
- 2010年01月18日
- 1. iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった
- 2009年10月19日
- 1. quoteメソッドの数値データ対応を検証する
- 2009年10月14日
- 1. htmlspecialchars/htmlentitiesはBMP外の文字を正しく扱えない
- 2009年10月09日
- 1. htmlspecialcharsのShift_JISチェック漏れによるXSS回避策
- 2009年09月30日
- 1. htmlspecialcharsは不正な文字エンコーディングをどこまでチェックするか
- 2009年09月24日
- 1. SQLの暗黙の型変換はワナがいっぱい
- 2009年09月18日
- 1. 文字エンコーディングバリデーションは自動化が望ましい
- 2009年09月14日
- 1. 既にあたり前になりつつある文字エンコーディングバリデーション
- 2009年08月05日
- 1. 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性
- 2009年03月28日
- 1. IPAは脆弱性の呼び方を統一して欲しい
- 2009年03月27日
- 2009年03月11日
- 1. U+00A5を用いたXSSの可能性
- 2008年12月22日
- 1. JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性
IPAが公募で丸投げしているからなんじゃないでしょうか?
作ったところが違うから用語も違うと。
IPAが用語辞書を作った上で、公募するといいのかもしれませんね。
とおりすがりさん、コメントありがとうございます。
確かに、この旧版はセントラルコンピュータサービスが委託されていますが、新版はIPAが作成しているのではないでしょうか。
IPAの中の人のブログに以下のようなコメントがありました。
https://www.codeblog.org/blog/Miyakawa/20070629.html#p02
できる限り、大和言葉を使うように心がけましたが、どうしてもカタカナが残ってしまいます。それでも分かりやすくなったと自負しています。
また、必ずしもクロスサイトな状況に限らず攻撃される可能性がある脆弱性については、修飾しないようにしました。これによって用語が短くなりました。
つまり、確信犯というか、意識して新しい言葉を作っていることがわかります。であれば、安全なウェブサイトの作り方第3版(2008年3月)の方で用語を合わせることもできたと思います。