Go の入力バリデーションパッケージ ozzo-validation を試した。

2021/11/06 32 users Validator ウェブアプリ Echo バリデーション

はじめに Go のウェブアプリで使う入力バリデーションに関して、ozzo-validation を検討した。 これまでのバリデーション 普段、仕事では labstack/echo という Go のウェブフレームワークが多いのだけど、echo のサンプルに合わせて go-playground/validator を使ってきた。 go-playground/validator は機能も豊富で(一... 続きを読む

ほぼ全てのインジェクション攻撃を無効化／防止する入力バリデーション | yohgaki's blog

2015/06/15 487 users インジェクション攻撃 yohgaki's blog 全て

入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか？を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化／防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか？ソフトウェア開発者が知っておくべきセキュリティの定義／標準／ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキ... 続きを読む

実は標準の方が簡単で明解 – セキュリティ対策の評価方法 | yohgaki's blog

2015/02/07 21 users yohgaki's blog 標準 セキュリティ対策 WAF

なぜセキュリティ対策の区別が異なるのか？長年疑問だったのですが、その理由の一つが判りました。 以下は、本質的には似たような機能であるWAFはセキュリティ対策で入力バリデーションはセキュリティ対策ではないのか？と質問した時のツイートです。 @yohgaki どちらもセキュリティ上効果がありますが、WAFはセキュリティを主目的として、というよりセキュリティのためだけに導入するのに対して、バリデーション... 続きを読む

ニュートン力学と相対性理論 – エンジニアに見られるセキュリティ対策理解の壁 | yohgaki's blog

2015/02/05 14 users ニュートン力学 yohgaki's blog エンジニア

以前からセキュリティ対策の本質や定義について何度かブログを書いたり、講演もしてきましたがなかなか理解できない方も多かったです。その構造は ニュートン力学と相対性理論の理解の壁 これと似ているのでは？と思い書き始めました。「エンジニアのセキュリティ対策理解の壁」は「ニュートン力学と相対性理論の理解の壁」と同類ではないでしょうか？ 特に入力バリデーションはセキュリティ対策の基本ではない、と勘違いしてい... 続きを読む

プリペアードクエリ病の処方箋 – execv/SQLite3 編 | yohgaki's blog

2014/12/10 22 users プリペアードクエリ エントリ 別名 API ITエンジニア

またプリペアードクエリなど、安全とされるAPI万能と考えている方に会ったのでエントリを書きました。広く病気として治療すべき、と思いエントリを書きました。 プリペアードクエリ病（別名：安全なAPI病）：「安全」とされるAPIを使えば安全と、盲目的に信用し考慮すべきリスクを考えない病気。ITエンジニアが発症し最も重要なセキュリティ対策である入力バリデーションを「必要ない、できない、セキュリティ対策では... 続きを読む

大垣本を読んで「バリデーションはセキュリティ対策」について検討した - ockeghem(徳丸浩)の日記

2011/12/25 140 users 所作 エントリ ockeghem バリデーション 観点

このエントリでは、セキュリティの観点から、バリデーション実装について検討します。大垣さんの本を読んで「大垣流バリデーション」について勉強した結果を報告します。はじめに大垣さんの記事「入力バリデーションはセキュリティ対策」では、「入力バリデーションはセキュリティ対策である」が力説されています。この記事はおそらくid:ajiyoshiさんのブログ記事「妥当性とは仕様の所作 - SQLインジェクション対... 続きを読む