「David LeBlanc が語る .NET Framework におけるセキュリティ」
行ってきました。うーん、淡々と.NETのセキュリティの機能についてしゃべっていたので、ちょいと難しいというか、イメージがつかみにくい。それなりに知識のある人じゃないとついて行けなかったんじゃないだろうか。「もうちょっと例を見せて欲しかった」とアンケートで書いてみました。
Writing Secure Code本を持って、David LeBlancさんにサインをもらっている人が数名。ブースは結構空いていました。半分くらいしか埋まっていなかったかな?まぁ、前回の第一回はMDCの後番組と言うこともあって参加しやすかったんでしょう。
- .NET Frameworkは便利なものだけれど、銀の弾丸ではないよ
- ユーザの入力はすべて邪悪なもの(evil)として受け取ろう
- .NET Framework におけるセキュリティあたりを見てね。
- Writing Secure Code 2nd Editionもみてね(.NETに限らないけど)
- できるだけ少ない権限で動くようにテストしよう(FullTrust推奨なんてしないようにしよう)
などなど。そしてこのセミナーで一つ収穫といえば、まだよく読んでいないけれど、「http://msdn2.microsoft.com/ja-jp/library/c09d4x9t(VS.80).aspx」(くそ、()があると、はてながリンクしてくれない…)これはC++で作っていた頃からどうにかしてできないものかと思っていた(言語レベルでは難しいかなとも思っていたけれど)。
具体的には「自分が作った派生クラスでは使いたいけれど、他人が作った派生クラスでは使わせたくない(使われるとちょっと困る)」というメソッドを作りたいことがしばしばあって、その解決になるのかな?ただ、セキュリティの常として、セットアップ…大丈夫かなぁ。「インストールの時にやるものだよ」とは言っていましたが…。