パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ファイアウォールなしで重要なサーバーを運用するのは普通?」記事へのコメント

  • by Disca (7279) on 2014年08月02日 19時06分 (#2649789) 日記
    セキュリティのポリシーが考えられて無いシステムの場合は、実装のほうが心配です。
    例えば、端末側の実装で、接続文字列(パスワードを含むもの)を書き出してINIやレジストリ・シリアライズされたテキストに保存している。
    クエリーについては、プリペアドステートメントを使わない。数値や文字列は独自関数でエスケープはしてはいるが、数値の代入まで考慮されていない。ASPの場合、JavascriptだけのチェックでOKという恐ろしいものもありました。このようにSQLインジェクションし放題な現場は多かったりします。このような事例は大規模なシステムでも複数回見かけた事があります。(実際にその企業はSQLインジェクションによる漏洩事件を起こして、大変なニュースになった事案も。)
    しかし、下請け企業の場合は、セキュリティホールを親会社に指摘すれば、次の仕事に影響する恐れから、なかなか指摘しづらいのが現状です。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...