世の中の物事についてあれこれ考えるkudeの日記


by kude104
カレンダー
S M T W T F S
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31

タグ:セキュリティ ( 2 ) タグの人気記事

PHP Rampart リリース

PHP でセキュアな Web アプリケーションを作るためのテンプレートエンジン PHP Rampart を公開しました。

PHP Rampart

「PHP はダメな言語」とよく批判されます。
その理由のひとつに、PHP は初心者でも比較的簡単に Web アプリケーションが作れてしまうので、セキュリティ対策についてあまり詳しくないまま脆弱な Web アプリケーションを作ってしまうケースが多いことが挙げられます。

だったら、そうした人でも簡単にセキュリティ対策が施せるツールがあれば、PHP がダメな子呼ばわりされることも少なくなるのではと思い、作ってみました。

とはいえ、ぼく自身、セキュリティ対策についてはあまり詳しくないので、見よう見まねで作りました。
PHP Ramaprt の使用実績という点でも、当然これからです。
今後自作する Web アプリケーションで実際に使用してみながら、いろいろブラッシュアップしていこうとは思っていますが、ぼく一人の力ではおのずと限界があるでしょう。
できれば、多くの方々に使って頂いて、改良・改善・アドバイス等々をいただければ嬉しいです。

PHP Rampart によって、少しでも危険な Web アプリケーションが減り、PHP のイメージが回復すればいいなーと思います。
[PR]
by kude104 | 2008-03-18 23:10 | PC&ネット
FlashでWebアプリケーション的なものを作ろうとしたとき、たいていネックになるのは、「異なるドメインにあるデータをロードできない」という制約です。
セキュリティ上の安全性を考えてそうなっているようですが、たとえばRSSをロードできないとか、理解に苦しむ。
RSSを異なるドメインから読まれて困ることなんてないだろって思うわけで。
むしろ、どんどん読んでください、そのためのRSS配信ですってなもんじゃないでしょうか。

だいたい、Flashと同じドメインのサーバ上にCGIを設置して、それを中継して異なるドメインのデータにアクセスすることで、この制約を回避できてしまいます。
それで回避できてしまうんだから、わざわざ制約を設ける必要はないと思うんですよね。
一旦中継させるぶんだけ、インターネット資源を無駄に消費しているとしか思えない。

Flashには、異なるドメインからのアクセスを許可するポリシーファイルというものがあって、アクセス先にそれが設置されていれば、問題なくアクセスできます。
でも、ポリシーファイルなんてものを、必要もないのにわざわざ設置してくれている人のほうが珍しいわけで。
実質、ほとんど当てにできないと考えたほうがいい代物です。
このポリシーファイルというものの設計を、Flashは大いに誤ったとぼくは思う。

たしかに、初期設定を「許可しない」として、許可する場合に別途「許可する」設定を施すという設計のほうが紳士的です。
でも、この紳士的な慎み深さは、ネットの世界では消極的すぎると言っていいんじゃないでしょうか。
ネットの世界ではむしろ、初期設定を「許可する」として、禁止する場合に別途「許可しない」設定を施すという行け行けな設計のほうが”正しい”ように思う。
少なくとも、ブラウザでアクセスできる領域にあるデータに対しては。
たとえば、Googleが許可されているWebサイトのみクロールする設計で作られていたとしたら、人知れず消えていたでしょう。

ですから、ポリシーファイルも、初期設定(すなわち、ポリシーファイルが設置されていない状態)を「許可する」として、禁止する場合に別途「許可しない」設定を施すという設計のほうが正しかったと思います。
そうしていれば、今頃はAjaxではなくFlashが圧倒的に使われている世の中だったでしょう。
ぼくも大いに助かったというものです。

いずれにしても、インターネットでは初期設定が「許可」という考え方のところが勝つんじゃないかと思う次第です。
[PR]
by kude104 | 2007-03-31 22:24 | PC&ネット