「例えば、PHPを避ける」ってなぁにその曖昧な書き方?
こんなコンテンツがあることはつい最近まで知らんかった。
開発基盤選定における考慮事項の例
(1) プログラミング言語の選択
1) 例えば、PHPを避ける
短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。
こんなのに反応するのは、こだわりすぎ?あげ足取り?過剰反応?
いいや。こだわらなければならないことだし、「おかしい」と声を上げなければならないことである。 なぜならこれは、そのへんの技術屋さんのブログにメモ的に書いてあることではなく、 IPA=独立行政法人情報処理推進機構=の「セキュア プログラミング講座」に書かれていることだからだ。
そもそも「例えば、」とかいうその曖昧さはなぁに?
「曖昧さはできる限り排除しましょう」というのがセキュアプログラミングの基本である
なんていうのはそれこそ釈迦に説法だろうに、よりによって「セキュア プログラミング講座」と題したページ上で そんなあいまいな書き方でミスリードを誘うのはIPAのWebサイトに掲げることではまったくない。ありえない。
これを見たセキュリティ担当者(「にわか」の人含む)がこぞって 「PHPはダメです!(perl|java)です!」とかなんとかトンチンカンな断定をはじめることうけあい。プログラミング言語を変えればセキュアになるよ、といったふうなミスリードを誘いすぎる。何年も前に「SSL入れさえすれば大丈夫」といったSSL催眠術が流行った時期があったけど、それに近いことになるだろう。
だいたい、んなこと言い始めたらなんでもありでしょうが。
「例えば、」
IIS+ASP(ActiveServerPage)で書かれたサイトだって相当おかしなコードが多くてヨワヨワな場合が多いのはこの業界の人なら誰もが薄々わかっていることなわけで。(しかもその手の予想はたいていあたってる)
「経緯」
とか言う単語をこういう形で出すのが許されるんであれば、 何年か前までさかのぼればカカクコム(IIS+ASPで構築されてた)の事件の件とか、 ごく最近で言えば、IIS+ASP(+SQLServer)を狙った攻撃が多発して、トレンドマイクロのウィルス情報のページがウィルス汚染されたというナイス洒落な件をも「経緯」としてひもといたほうがインパクトあるんじゃなかろうか。
ならば、「例えば、IISとActiveServerPageを避ける」とか書きますか?
っていうとそんな書き方はしないわけですよ。よしんば書いたところですぐひっこめなきゃならないことになる。なんでって?そりゃぁあなた...(笑)
ニュートラルな立場で啓蒙活動をしなければならないはずの公益目的の団体や組織が、 いつのまにやらevil(邪悪)になっていくサマはspamhaus.orgなんかと同じだ。 そこまで言うのはオーバー?いいや。意外と簡単に落ちてしまうのがダークサイドの誘惑というものである。 用心すべきは用心すべきだし、声を上げるべきは声をあげるべきだろう。 巷のブログ(このブログ含め)などに書き散らかしてあるのとはわけが違うのだから。
IPAのこのコンテンツの件とはまったく別の記事の話だが、PHP界隈で著名な大垣氏が 「誤解を招く記事 - LAMPセキュリティを強化する4つの方法」という記事を書いている。技術的に見てもかなり納得が行く。なによりも、結びが秀逸だ。その一文を借りてこの記事も終えることにする。
「言語を替える事はセキュリティ問題の解決策にはなりません。」
see also:
- LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠 (yohgaki's blog 2008/3)
- 「例えば、PHPを避ける」ってなぁにその曖昧な書き方? (yohgaki's blog 2008/3)
2008年3月17日
Trackbacks [0]
