ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R＆D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか？ たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ（XMLやJSONなど） パートナー企業の入稿用 F

[nihen]

セキュリティ対策とアプリケーション要件をごっちゃにしている。実装上それで問題ないのかもしれないが説明としては不適切 / プリペアドステートメントでXSS対策にならないてなんのこっちゃ

[ockeghem]

『入力されるものは、何も信じてはいけません』<入力がアプリケーション要件を満たしている限りは、お客様の意図した通りに処理する。セキュリティとは関係ない

[fukken]

御託はいいので、知恵袋にコードを貼り付けようとするとインデントが消滅するとか場合によってはタグが消滅するとかいう不具合を何とかして下さい

[hide_o_55]

「チェック」という言葉にいろいろ詰め込みすぎてない？

[akitsukada]

併せて読みたい => http://bit.ly/hyVB7i http://bit.ly/hBYFXp http://bit.ly/dMTJCC http://bit.ly/fhgBZi （@ockeghem氏）

[cubed-l]

セキュリティ要件にだけ絞って書いたらどうか

[mi1kman]

ヤフーの「R＆D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリスト」でコレ。本当に害悪なので他所に広めないで欲しい。「何も信じない」と心の中、ヤフーの中だけで思ってて欲しい。

[yocchi24]

セキュリティはキッチリやろうとすればするほど工数が嵩むが、お客様にそれは判らない。高セキュリティであることの証明もしづらい。そして採用面接をしていると、セキュリティの知識が低いエンジニアは意外と多い。

[MinazukiBakera]

えっ……。

[rryu]

こういうまったりとダメなものはダメ出ししずらい……

[rna]

CSRFってここで言うような「入力チェック」で防げるか?

[kuracom]

旧URLの時のブコメ→ http://b.hatena.ne.jp/entry/techblog.yahoo.co.jp/cat207/security/post_40/

[towaduki]

入力チェック

[meganii]

バリデーションについて

[aoe-tk]

大切な基本が良くまとまっている

[glat_design]

データのバリデーションに万全を期せよ、という話

[tayutaedomo]

システム開発で日頃気を付けている事とは言え、自分の理解を見直すよい機会を与えてもらえた記事でした。

[gogoco]

メモ

[plasticscafe]

なるほど(｀・ω・´)

[yosuke13]

ホワイトボックス・ブラックボックス

[ether70]

ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)

[manji6]

これは重要だ。

[XIAORING]

input validation yahoo

[ippai_attena]

「入力されるものは、何も信じてはいけません。あなたの開発するシステムは、あなた以外が守ることはできません。すべてに対して憶病になり、疑いを持ち、あらゆるものを心配してください。」

[ghostbass]

後で

[kamei_rio]

__〆のヮの＜何も信じるな！

[Barak]

Yahoo! JAPANはアルファ・コンプレックスだったのでs(ZAPZAPZAP／(マジレスすると、Paranoid Securityなんだから、このくらいは「ふつー」)

[rti7743]

これらが正しくされているかのチェックに利用しているツールを知りたいな。parosのような辞書ベースの攻撃とか静的解析みたいなソースコードサイドからの確認もしてんのかなー

[bugcloud]

最初の一文で読みたくなくなった

[stealthinu]

Yahooではどのように入力のバリデーションをしているか。デコード後もチェック。基本、ホワイトリスト方式。リダイレクト先の確認。などなど、チェックすべき点が網羅されてる。これは勉強になる。

[sasahira]

これはひどい

[lanius]

入力検証のチェックリスト。

[kobamix]

バリデーション

[waribashi]

インプットバリデーション「何も信じるな」

[nyop]

これ好き。

[SasakiTakahiro]

入力されるものは、何も信じてはいけません。

[ktakeda47]

"ヤフーにおけるインプットバリデーション「何も信じるな」"

[syanbi]

Webサービスを表に出して利用できるってことは、コート一枚で中身は全裸で街を歩いてるのと同じだしな。カッターでコートを引き裂かれたらお縄になっちまう