そういえば、Web アプリケーションの代わりに ClickOnce で Windows アプリケーションを配布するという選択肢がありますね。
Cross Site Scripting は、Web アプリケーション特有ですが、SQL インジェクションは、Windows アプリケーションでも発生し得ますから、注意しましょう。
いや、過去にも同じこと書いているんだけどね。
あの時が、開発した2000年8月当時,SQLインジェクションは広く知られた脅威ではなかった。
という言い訳なら、今度は「SQL インジェクションは、Web アプリケーション特有のものだと認識していた」とかっていう言い訳になるのかな?と、ふと思ったのです。また、次のようにも書いています。
過去のエントリ:SQL Injection の真実 : こんなもの、新しくなんかない
ひとつ、「対応されてなくても仕方がない」派を養護するとするなら、Web アプリケーションでなければ、「脅威」となり得ない、ということがあるでしょうか。Web サービスや Web アプリケーションでないということは、ローカルな環境で使うということです。攻撃する人と、攻撃されてダメージを受ける人は同じだった、ということです。
ActiveX と同じくらい簡単に、より高機能で、よりセキュアなアプリケーションを配布できる ClickOnce が、Web アプリケーションの代わりに使われるのでは?そうなったとき、「配布するのは、Windows アプリケーションだから」と、XSS 対策はしないとしても、SQL インジェクション対策までしていなかったら???あな、おそろしや。
投稿日時 : 2007年1月16日 21:52