第12回まっちゃ139勉強会大垣さんの資料を公開しました

まっちゃ139

PHPとセキュリティというお題でやっていただくのですが、資料を事前公開OK貰いましたので公開します。

まとめから印象に残ったものを
  • PHP開発者が「セキュリティ上の問題」として認めない問題が多くあった
    • クラッシュバグとしてのみ取り扱う
  • MOPB以降改善している
  • まだ修正されない(するつもりがない)脆弱性がある
  • PHPプロジェクトはセキュリティに対する対応が良いとは言えない
    • パッチ管理、インシデント管理、リリース管理、姿勢
  • PHPは最新版PHP5以外は脆弱性がある
    • PHP4は脆弱性の修正が正しく行われていない
  • disable_functions/disable_classes設定は(フェイルセーフ機能としても利用可能だが)気休めの機能

最後のページは名言中の名言です。

最後に

  • Webアプリケーションのインフラとなるプログラムの安全性確保は重要ですが、Webアプリケーションの安全性の方がもっと大きな問題
    • print $user_input; 」の一文ですべてのセキュリティ対策が無駄になる
    • Webアプリセキュリティ知識は「専門知識」ではなく「Web開発者の常識」ならければ何時までたっても安全なアプリは作れない