[PHP-users 11812] Re: PHPバージョンによる相違
Osamu Shigematsu
php-users@php.gr.jp
Tue, 26 Nov 2002 22:23:40 +0900
重松です。こんにちは。
On Tuesday, Nov 26, 2002, at 20:01 Asia/Tokyo, Masashi Ohba wrote:
> 裸で表を歩いても問題無い「古き良き時代」に作られたわけです。
> その時に「裸は危険だ」と回りが果たして思うかどうか…
PHP を知ったその瞬間から、register_globals = off の必要性を感じました。
普通ならば、すぐに気付く問題だと思いますし、
気付かないで商売してれば、それはそれで、よっぽどではないでしょうか。
> その時代に鎧を着ててもよかったわけですが
> どれだけ保護すれば(コストをかける)安全かという話は
> 時代や回りの状態で変化します。
> だからこそ、register_globalsのデフォルトの設定を変更する
> 理由があったからOFFになったわけです。
少なくとも、register_globals = off で
「今までと同じセキュリティレベルで」動作するが、
# というか、穴が埋まってる分、当然今までよりもそのままで安全度は上がっているハズ。
「セキュリティを高めた改修を行うように推奨されていて、
この改修にはかなりのコストがかかる」というような情報は提供されず、
「改修なくして動作は不可能」
と事実を誤認させられているように私は感じました。
そういう意味では、その業者は、ボッタクリというか、
その改修が extract() で展開してるだけだったら、悶絶ものですが。
第一、中島さんは、スクリプトの内容には一言も触れていません。
高度にセキュリティを要求されるような内容でないなら、
しっかりとコストとその効果を中島さんが検討できるように、
情報を提供するべきでしょうし、中島さんの依頼した内容が分からない以上、
議論のしようもないです。
ただ、最近は、何でもセキュリティといって、不安をあおって、
必要以上の対策まで押し売りしているような気がします。
例が適切か分かりませんが、夕飯の買い物に行く車を買いにきた主婦に、
軽自動車は小さいので、もっと安全なベンツをおすすめします、
といっているのと大差がないような。。。
この辺、メールアドレスがもれただけで、新聞記事になるご時世ですから、
気をつけた方がいいのは確かで、その点 register_globals = off を
推奨することを否定しているわけではないです。
--
Osamu Shigematsu