備考:かなり古いブログですが公開し忘れしていた分です。
セキュリティ対策の基本とセーフガードを
セキュリティ対策の基本は
-外部システム(人間を含む。DNS、メールのデータ等も)は信用しない
-信用できないデータは確実に確認する
-外部システムに出力する場合は外部システムの仕様に従った形式で出力する
ですがセーフガードの話をしているのに「本来セキュリティは…」と説明し始めるケースがよくあります。
セーフガードは「問題が発生しても問題を最小限に留める仕組み」であるのでセーフガードの話をしているのに「本来セキュリティは …」と議論をすりかえられては議論になりません。セーフガードが必要無いならJavaやC#なんて使わなくてもC++を使ってポインタをバリバリ操作すれば良いです。JavaにもSandboxなんて必要ないです。PHPのopen_basedir設定も無用です。OSでNXビットをサポートする必要もないし、アンチウィルスソフトも必要無いです。
基本を解ってない人と話をするのは骨が折れます…
