yohgaki's blog – ページ 19

Computer, Database, Development, PHP Security, Programming, Secure Coding, Security

OWASP Secure Coding Practices – Quick Reference Guide

5月 27, 2015 #セキュアコーディング, #セキュリティ標準投稿者 yohgaki

OWASPのガイドラインはPCI DSSでも参照するように指定されているセキュリティガイドラインです。その中でも比較的簡潔かつ体系的にセキュアプログラミングを解説した資料がOWASP Secure Coding Practices – Quick Reference Guide (v2) です。

日本語訳がないようなので一部未訳ですが訳しました。CC-BY-SAライセンスです。クリエイティブコモンズライセンスに従って自由に配布できます。

チェックリスト形式になっているので、自分のコーディング／開発スタイルがどの程度適合しているのか、簡単にチェックできるようになっています。コーディングスタイルのみでなく、運用はシステム構成に関連する物も含まれています。私が解説／紹介しているセキュリティ対策を行っている開発チームであればこれらの殆どに適合しているはずです。どのくらい適合していたでしょうか？

イントロダクションでは、開発者に対して少々厳しいことが書いてあります。

この技術的不可知論文書は一般的なセキュアコーディングを実践に必要な要素をソフトウェア開発ライフサイクルに統合可能なチェックリストとして定義します。

「技術的不可知論文書」（不可知論：物事の本質は人には認識することが不可能である、とする立場のこと ※ ）としているのは、この文書が取り扱うセキュアコーディングの本質が理解されていない、理解されることがない、と嘆いていることを意味します。セキュアコーディングの本質の解説は諦めて作ったチェックリストであることを示唆しています。私も同じ感覚を共有しています。興味がある方はぜひ以下の参考資料を参照してください。原理と原則を知った方が応用範囲が広がります。

正確な直訳より分かり易さを優先しました。見直しをする時間まではありませんでした。誤り、誤解を招く訳などの指摘を歓迎します。

※ Agnostic（不可知論）について：このガイドは2010年に公開された文書です。最近、agnosticは「〜に依存しない」「〜に関わらず」「〜を問わず」「汎用的」「プラガブル」「詳しく知らなくても使える」といったコンテクストで割と一般的なIT用語として利用されています。2010年頃は哲学的意味が強かったと思いますが、現在は先に書いたような意味で使われているケースが多くあります。

参考資料：

もっと読む

Computer, Development, PHP Security, Security

セキュアなアプリ開発 – もしあなたが開発を丸投げするなら？

5月 24, 2015 投稿者 yohgaki

もし「新規開発を丸投げしセキュアなWebアプリ開発を実現してください」と依頼されたらどうするでしょうか？開発者として開発に参加するのではなく、開発主体、つまりアプリの運営者としてして「新規開発を丸投げしセキュアなWebアプリ開発を実現すること」が目的です。開発プロジェクトのディレクションを担当し、開発は丸投げなので自分が開発に一切関わらないことが前提条件です。

セキュア開発を行うには？を考えたメモです。

もっと読む

Development, PHP Security, Security

今すぐできるWAFの導入

5月 18, 2015 #PHP, #WAF 投稿者 yohgaki

PHPに簡易WAF機能を追加するのは簡単です。今すぐできます。同じ考え方で他の言語でも実装可能ですし、Apacheのmod_rewirteを使って実装、iptablesのstringモジュールなどを使っても実装できます。

もっと読む

Computer, Development, PHP Security, Programming, Secure Coding, Security

セキュアプログラミング（防御的プログラミング）の歴史をざっと振り返る

5月 16, 2015 #セキュアコーディング, #セキュアプログラミング, #セキュリティ構造, #セキュリティ標準, #ベストプラクティス投稿者 yohgaki

キュアプログラミング（防御的プログラミング）の歴史をざっと振り返ってみたいと思います。セキュアプログラミングは防御的プログラミングとも言われるプログラミングの原則の１つ※です。古くからある概念ですが、誤解または理解されていない概念の１つではないでしょうか？

※ Defensive Programmingとして記載されています。

何故、一般に広く常識として理解されていないのか？その理由は防御的プログラミングの歴史にあるのかも知れません。

参考：

もっと読む

Computer, PHP Security, Programming, Secure Coding

PHP7のタイプヒントの使い方

5月 14, 2015 #PHP, #セキュアコーディング技術投稿者 yohgaki

PHP7で基本的なデータ型である”int”や”float”、”array”タイプヒント（データ型のヒント）がサポートされます。使い方を間違えると思ってもいない問題が発生することがあります。しかし、正しく使えば問題ありません。タイプヒントの使い方を簡単に紹介します。

もっと読む

Computer, Development, PHP Security, Programming, Security

PHP7 is going to be strictly typed language. Will this work?

5月 12, 2015 #In English, #PHP 投稿者 yohgaki

In previous blog, I wrote how PHP7’s basic type hinting works and missing piece to make it work. I would like to explain reason why current type hinting design will not work well for PHP.

もっと読む

Computer, Development, PHP Security, Programming

Don’t use PHP7 type hint for external data

5月 11, 2015 #In English, #PHP 投稿者 yohgaki

PHP7, expected 2015 Q4, comes with scalar type hints that supports “int”, “float”, “array”. While it is good thing to have type hints for basic data types, but it changes the way data was handled in older PHP versions.

もっと読む

Computer, Development, Programming

Building Dynamic websites. Harvard OpencourseWare. CS E-75

5月 11, 2015 #PHP 投稿者 yohgaki

すこし古い（2012年）ハーバード大学での「動的Webサイト構築」の動画です。英語の勉強を兼て基礎からWeb開発を学ぶには良い動画です。長いので流石に全部は見ていません。しかし、ほとんどの内容は現在でも通用する物になっていると思います。

もっと読む

Computer, Database, Development, PHP Security, Programming, Secure Coding, Security

不整合が起きてはならない場合、トランザクションはシリアライザブル

5月 8, 2015 #MySQL, #PostgreSQL, #SQLite, #セキュアコーディング技術投稿者 yohgaki

リレーショナルデータベースが優れている点はトランザクションをサポートしている点です。トランザクションは手続きが一貫性ある形で実行されることを保証してくれます。しかし、トランザクションを使えばOK、という物ではありません。

もしトランザクションさえ使っていればOKと思っていた方はトランザクション分離レベルを理解してください。

もっと読む

Computer, Programming, Review

いちばんやさしいPHPの教本

5月 4, 2015 #PHP 投稿者 yohgaki

「一番やさしいPHPの教本」を献本いただきました。表紙に書いてある通り、パソコンさえつかえれば知識ゼロではじめても挫折せずに動くプログラムが作れます。最初の一歩を踏み出すための本なのでこれだけで十分とは言えませんが、初めてWebアプリを作ってみたい、という方にはぴったりの本だと思います。

DSC_0339

もっと読む

Computer, Development

Zephirで作られたIce Framework

5月 4, 2015 #Framework, #PHP, #Zephir 投稿者 yohgaki

Ice FrameworkはC拡張モジュールとして作られたPHP用フレームワークです。PHPのC拡張モジュールを簡単に作れるZephirで作られたIce Frameworkが公開されています。GitHubで見てみると半年ほど前からあるようです。

もっと読む

Computer, Windows

VMWareのWindowsがBSoD（ブルースクリーン）でクラッシュする場合の対処

5月 2, 2015 投稿者 yohgaki

VMWare 11上のWindows 7 VMがBSoD(Blue Screen of Death)で時々クラッシュするので困っていたのですが、少し大きなファイルをネットワークを使ってコピーなどするとクラッシュするようになり使い物になりませんでした。対処方法が分ったので書いておきます。

もっと読む

Computer, Development, PHP Security, Programming, Secure Coding

PHPスクリプトファイルアップロード攻撃を防止する方法

4月 26, 2015 #PHP, #セキュアコーディング技術投稿者 yohgaki

PHPはスクリプトアップロードに弱いシステムですが、PHPアプリにはファイルアップロードをサポートしているアプリが数多くあります。WordPressなど自動更新を行うアプリも増えてきました。

PHPアプリの場合、MVCフレームワークなどを使っていてもエントリポイントにはPHPファイルが必要です。ファイルアップロードをより安全に使うための設定も可能ですが、WordPressのようなファイル配置で自動更新を行っているアプリの場合、攻撃を完全に防ぐ事ができません。

しかし、簡単な方法でドキュメントルート以下のPHPファイルの実行をホワイトリストで防御することができます。

もっと読む

Computer, Development, PHP Security, Security

開発者でなくても解るセキュリティ対策 – 入力バリデーション編

4月 25, 2015 #セキュアコーディング技術, #入力バリデーション投稿者 yohgaki

ITシステムに限らずセキュリティ対策で最初に行うべき対策は境界防御（契約による設計と信頼境界線、標準と基本概念、開発者は必修SANS TOP 25）です。ソフトウェアにおける境界防御の第一番は入力の確認（入力の確実な制御）です。このブログでは何度も取り上げていますが、最も重要なセキュリティ対策である境界防御の概念と入力の確認が正しく認識されていない場合がよくあります。

開発者であるから「これで解るはず」と思い書いたエントリは幾つか（「合成の誤謬」の罠、エンジニアに見られるセキュリティ対策理解の壁など）ありますが、どうも成功しているとは言えないようです。今回は開発者でなくても理解できるよう努力してみます。

ホワイトリストの基本中の基本は”デフォルトで全て拒否する”であることに注意してください。全て拒否した上で、許可するモノ、を指定しないとホワイトリストになりません。

もっと読む

Computer, Development, Security

今すぐできる、WordPressサイトへの2要素認証導入

4月 21, 2015 #2要素認証, #WordPress 投稿者 yohgaki

このブログもWordPressです。パスワードの辞書攻撃、ブルートフォース攻撃を思われるアクセスが大量にあります。WordPressへの2要素認証導入はプラグインのインストールだけでできます。

開発者向けの2要素認証導入もブログに書いています。開発者の方は早めに自分のサイト／サービスに2要素認証を導入することをお勧めします。

もっと読む