徳丸さんの意欲的なテキストを読む時間すら無い現実。
ホワイトリスト方式の優位は神話~ホワイトリストとブラックリスト~ | 徳丸浩の日記
AppShieldのホワイトリスト形成に付き合ったことがあるけど、どんだけがんばってホワイトリストを作っても、「ちょっとデザイン変更」「コーナー新設」「サイトリニューアル」・・・まるでトリプル・ドム・アタックのようにたたみかけられると心が折れますよね。抽象化しても正規表現駆使しても、黒い三連星の怒濤の攻撃の前には撃沈するしかない。
一般的にはセキュリティの実装はホワイトリストに基づくべきなんだろうけど、Webアプリは手強すぎるかなあ。
