- ベストアンサー
ポータルサイトでのスクリプトについて
ポータルサイトを業者の方に作成してもらいました。 実際に顧客が使う管理画面を触っていたところ、 javascriptやphpがそのまま反映されてしまうことがわかりました。 これって大丈夫なんでしょうか? 私自身そこまで詳しくないため、どんなコードでも反映されるのかどうかはわかりません。 やってみたことは、 ・ハローワールド ・日付選択ボックス ・現在時刻表示 です。 実際に使う顧客側にそこまで知識があるかどうか不明ですが、 これって業者に言って使えなくするべきでしょうか? それともこれはある程度の制限をかければOKなのでしょうか? よろしくお願い致します。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
No.1さんの回答にありますが、そのサイトは、セキュリティを考慮していない作りになっているようです。 昔は、そんなWebサイトも多かったと思いますけど、現在では、危なくて公開できないサイトですね。 もしかすると、管理画面だけが、いい加減な作りになってるのかもしれませんが、普通に考えれば、全体的に似たような作りだと思うのが普通ですよね? 一般的に、セキュリティを考慮するとコーディングの手間が増えるのですけど、最新のフレームワークを使っていたら、そんなに工数を増やすことなくセキュリティを高めることが可能だと思います。 >>それともこれはある程度の制限をかければOKなのでしょうか? まあ、そうですけど、テキスト入力のある箇所、全ての修正が必要になるので、ちょっと修正作業は面倒だと思います。 IBMのセキュリティ・イベント情報をみますと、2013年度の上半期におけるWebアプリケーションへの攻撃の3/4以上がSQLインジェクションだったといいます。 質問者さんのサイトは、この攻撃を受けると、簡単に攻略されてしまいそうです。
その他の回答 (1)
- hue2011
- ベストアンサー率38% (2801/7249)
レポートがやや舌足らずの気がします。 phpやjavascriptのソースがそのまま表示されるということでしょうか。 とはいえ、開発者の能力不足と思われます。 もしテキスト入力のできるような機能があるのであれば、次のようにタイプしてみてください。 <a href="http://www.yahoo.co.jp">???</a> こう入力したテキストを保存して表示しなおしたらどうなりますか。 そのまま完全に表示するようであれば、能力に不足はありません。 何か変なことを起こしたら、勉強不足の技術者です。 能力不足ですから苦情をいっても方法がわからないと思われます。 業者を替えるべきです。
補足
回答ありがとうございます。 ???のリンクが表示され、クリックするとyahooへ飛びました。 スクリプト書くとその結果がそのまま表示されるので、これって悪意のあるコードを埋められたりしたら…って考えて質問させて頂きました。 反映される時とされない時があり謎です。
お礼
お礼が遅くなってすみません。 業者にいって、顧客側ではタグが反映されないように改修して頂きました。