PHP入門書を確認指摘する徳丸浩氏にWeb業界はどう思っているの?
Webセキュリティで権威のある徳丸本の著者、徳丸浩氏。
本人曰わく、「ライターさんなら仕方ないが、Web業界で働く制作者が書くPHP入門書に絶望的」と。
これって、PHPを学習したく入門書を買いたい人にとって深刻なことじゃないかと思います。
特にWordPressをきっかけにPHPを学ぶ人も多いでしょう。
セキュリティで誤りがあったりすると大変問題です。
読者からすると、これらの指摘は大歓迎ですが、初心者がPHP入門書のセキュリティ部分を自身で確認しながら学ぶって辛く厳しいと思うんです。
PHP入門書を書いた現役のWeb制作者たちのPHPプログラミングのスキルは信じて大丈夫でしょうか。
指摘されたWeb業界側は徳丸さんをどう思っているの?
PHP書く人、教えてください。
http://youtu.be/M7x-P7CddPw
25分頃参照。
みんなの回答 10 件
どうも思ってない
Web技術自体が未完成なんだから、それを隠したって仕方がない。
日本文化はマイノリティであることを悪視するけど、危険なものは危険、ダメなものはダメとはっきり言える人は貴重。それはWebに限ったことじゃないよね。
Web制作者といってもすごく幅広いからなにも言えないけど、デザイン中心の人たちはプラグインを利用するのがほとんどでphpを書くとしたらコピペするまでが利用範疇だと思う。
信用できるかできないかといえばまったく信用できない。
そもそもWordPressなんかやる奴はプログラマじゃなくてデザイナーか一般人だよ。入門書書いてる人は言語を理解できてない素人が書いてるのぐらいすぐ分かること。
入門書でセキュリティについてふれること自体が無茶だと思う。
入門書が対象としている読者の大半は、phpで始めてプログラムを書く人間も含まれているでしょう。
プログラムがどう動くかも、まだ良くわかっていない人間に、複合的な技術の理解が必要なセキュリティ対策を語っても理解できないと思う。
例えば、xssの危険性を理解してもらうには、javascriptについてふれる必要があるが、1つ目のプログラムを勉強している途中に、言語特性が異なる別言語がいきなり現れたら、かなり混乱すると思う。
かといって、全く語られないのも問題なので、コラムページ当たりで、代表的なクラッキング手法の名称を紹介して、この本の次はこういったことも調べて見るよう示唆する程度で良いと思う
セキュリティを絶対的な善として他人の著書にいちゃもんつけるのはおかしいと思う。
セキュリティを無視して生まれるものもあるだあるだろうに。
たとえ初心者向けであろうともセキュリティ上の問題を抱えたコードを掲載するのは良くないと思います。
スニペットレベルなら問題ありませんが、例えば会員用の簡易掲示板を作ろうといったそのまま動作可能なコードサンプルでは、xssやcsrf、sqlインジェクション、セッションハイジャックといった基本的な対策を行っていないコードを掲載するのは良くないを通り越して罪に問うべきじゃないかとも思います。そんなの断罪しても仕方ありませんが。
未だにパスワード平文で格納とか卒倒しそうになります。
初心者向けであればなおさらWebアプリケーション開発の全体像を把握してもらった方が良いとも思いますので。
お手本が狂っていたら仕方ないので、全体の底上げになるのはいいことだね。
webの成り立ちが故に、ディフォルトが安全であるということになっていないのがとても残念だ。(いちいち注意しないと安全ではないsqlやhtmlの規格を作った人たちは死んで詫びるべき)
大体の指摘は、ユーザから受け取る値は、そのまま信じてはいけませんよ。以上で要約されると思う。
なので、あまりこうこういうのがよいという指摘を個別に続けていくと、健康グッズのウリ文句みたいになりそうとは思う。(何々を食べると健康によいみたいな。)
できれば、このような、個別指摘よりは、
ログの監査耐性、フリーで使える脆弱性検出システム、フリーのWAF等の充実など、システムチックなものの底上げで機械的に対処できるようになればいいなと思うよ。(人間がいちいち頑張るのは間違っている。 parosみたいなものはもう作られないものかね。)
ココらへんは金がなる木だから、難しいんだろうけど。
確かに入門書に書くことはどうかという議論はあるでしょうが、この時代セキュリティを意識しないWebアプリの開発は、そのユーザー企業の生命線ですらある。
最初から意識を持った開発経験を積むのは十分有効かと
セキュリティも踏まえて、良くわかる初心者向けの入門書を執筆する能力と、実務で記載するコード生成能力とは別のものと思います。
なので、実務でもへんてこなのか、そうでないのかは入門書を見て判断ができるものですかね?(もちろん、すぐ分かるものもあると思いますが)。もし、全てを満たす入門書があればそれを推薦すれば良いし、それが無いのであれば、入門書を執筆すると良いのではないかと思う。
ちなみに、わたしはどんな執筆能力が無いので、どのようにすれば、入門者でも分かりやすく、しかもセキュアにコーディングできる知識を得られるようにすべきかや、入門者にPHP言語能力以外にセキュアな意識を持たせる方法も良くわかりません。
ただ、ビデオでは、やる人はやるけれど、やらない人に対してどうするのが良いのかが主題のようですし、それに関して業界的に問題だよねって言う点は全くの同意です。
関連するトピックス