[PHP-users 11809] Re: PHPバージョンによる相違

UNO Shintaro php-users@php.gr.jp
Tue, 26 Nov 2002 20:32:58 +0900


>制作会社にはこれから報告しようと思っているところですけど、結構複雑
>な心境です。激しく非難する気はありませんが、少なくとも「大規模な改
>修」は必要なかったという事実は否めません…。
>
>また調べてみると、この変更点はセキュリティ向上を目的とした変更だと
>いうことですから、言い換えるとそれによって動かないということはセキ
>ュリティをあまり意識して作られていなかったということですよね?

register_globals=onでしか動作しないアプリケーションをoffで動作するよう
作り変えるのは、「大幅な改修」になる可能性はけっこうあります。

選択肢が2つあることはとりあえず分かったわけですから、ここで優先すべき
なのは制作会社をどうこう言うことではなくて、「register_globals=offのま
まに保つこと」でそのシステムのセキュリティが現状よりどれだけ強化できる
のか、その改修にかかるコストが防止できる被害に見合うのか、制作会社とも
協力して情報収集と評価を実施し、方針を決めることだと思います。


ちなみにregister_globals設定に関連するセキュリティ問題が大きく言われ出
したのはそれほど昔のことではないので、そこらの書籍の情報などは全然追い
ついていません。
ま、ネットで丁寧に情報収集していれば分かるので、制作会社の情報収集力が、
ちと弱いんじゃないかって気も、しますけど、「問題が起きたポイントについ
ては、依頼側が特に何も言わなかったので引受側も意識していなかった」とい
う例もよくあるので(PHPに限らず、ソフト開発に限らず)、今回の場合がど
うなのかということにツッコむと、思いっきりオフトピックになりそうで、、
そこはあまりツッコみたくないです。(^^;

-- 
UNO Shintaro, 宇野 信太郎
mailto:uno@venus.dti.ne.jp
http://www.venus.dti.ne.jp/~uno/