[PHP-users 11812] Re: ＰＨＰバージョンによる相違

[Osamu Shigematsu]

重松です。こんにちは。

On Tuesday, Nov 26, 2002, at 20:01 Asia/Tokyo, Masashi Ohba wrote:

> 裸で表を歩いても問題無い「古き良き時代」に作られたわけです。
> その時に「裸は危険だ」と回りが果たして思うかどうか…

PHP を知ったその瞬間から、register_globals = off の必要性を感じました。
普通ならば、すぐに気付く問題だと思いますし、
気付かないで商売してれば、それはそれで、よっぽどではないでしょうか。

> その時代に鎧を着ててもよかったわけですが
> どれだけ保護すれば(コストをかける)安全かという話は
> 時代や回りの状態で変化します。
> だからこそ、register_globalsのデフォルトの設定を変更する
> 理由があったからOFFになったわけです。

少なくとも、register_globals = off で
「今までと同じセキュリティレベルで」動作するが、
# というか、穴が埋まってる分、当然今までよりもそのままで安全度は上がっているハズ。

「セキュリティを高めた改修を行うように推奨されていて、
この改修にはかなりのコストがかかる」というような情報は提供されず、

	「改修なくして動作は不可能」

と事実を誤認させられているように私は感じました。

そういう意味では、その業者は、ボッタクリというか、
その改修が extract() で展開してるだけだったら、悶絶ものですが。

第一、中島さんは、スクリプトの内容には一言も触れていません。

高度にセキュリティを要求されるような内容でないなら、
しっかりとコストとその効果を中島さんが検討できるように、
情報を提供するべきでしょうし、中島さんの依頼した内容が分からない以上、
議論のしようもないです。

ただ、最近は、何でもセキュリティといって、不安をあおって、
必要以上の対策まで押し売りしているような気がします。

例が適切か分かりませんが、夕飯の買い物に行く車を買いにきた主婦に、
軽自動車は小さいので、もっと安全なベンツをおすすめします、
といっているのと大差がないような。。。

この辺、メールアドレスがもれただけで、新聞記事になるご時世ですから、
気をつけた方がいいのは確かで、その点 register_globals = off を
推奨することを否定しているわけではないです。

-- 
Osamu Shigematsu