2009-04-01から1ヶ月間の記事一覧
ある本(確かMSのセキュアプログラミングの本だったと思う)に、「セキュリティテストなんてムダだからオレやんないよ」と書かれていた記憶がある。その他、コードレビューしとけばセキュリティテストいらないんじゃね?という話も聞いたり、聞かなかったり…
http://www.acrossecurity.com/papers/session_fixation.pdf 後で読む
http://www.logos.ic.i.u-tokyo.ac.jp/~yunabe/download/paper/scis2009.pdf
前回ツールの欠点を書いたけど、Disるだけではひどいので、ツールを使う利点と言うのをあげてみるw 検査工数を大幅に減らせる 自動検査ツールを使わない場合、WebScarabとかProsなどで、手動で検査しなくてはいけないわけだが、コレが意外と手間がかかる地…