TH



TH
BigGo Magเกี่ยวกับเราร่วมงานกับเราติดต่อเราข้อกำหนดผู้ใช้ศูนย์ช่วยเหลือ
© 2025 BigGo
ติดตั้ง
ดาวน์โหลดแอป
ข่าว
เทคโนโลยี
ความปลอดภัย

เกินกว่า Bobby Tables: วิวัฒนาการของการตรวจสอบข้อมูลนำเข้าจาก SQL สู่ชื่อบริษัท

BigGo Editorial Team
เกินกว่า Bobby Tables: วิวัฒนาการของการตรวจสอบข้อมูลนำเข้าจาก SQL สู่ชื่อบริษัท

การถกเถียงในชุมชนเทคโนโลยีเกี่ยวกับการบังคับเปลี่ยนชื่อบริษัทในสหราชอาณาจักร ได้จุดประเด็นการสนทนาที่กว้างขึ้นเกี่ยวกับการตรวจสอบข้อมูลนำเข้า การทำความสะอาดข้อมูล และผลกระทบในโลกความเป็นจริงของความพยายามในการแทรกโค้ด ในขณะที่เหตุการณ์ดั้งเดิมในปี 2020 เกี่ยวข้องกับแท็ก HTML script ในชื่อบริษัท มันได้สะท้อนให้เห็นถึงความท้าทายที่ต่อเนื่องในการรักษาความปลอดภัยของระบบจากความพยายามในการหาช่องโหว่อย่างสร้างสรรค์

เหตุการณ์ดั้งเดิม

ในปี 2020 Companies House ซึ่งเป็นนายทะเบียนบริษัทของสหราชอาณาจักร ได้บังคับให้ธุรกิจหนึ่งเปลี่ยนชื่อหลังจากพบว่ามีแท็ก HTML script ที่อาจใช้สำหรับการโจมตีแบบ cross-site scripting (XSS) บริษัทถูกเปลี่ยนชื่อเป็น THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD ซึ่งการเปลี่ยนแปลงนี้เองก็กลายเป็นประเด็นถกเถียงในชุมชนเทคโนโลยี

นอกเหนือจาก HTML: ประวัติของการหาช่องโหว่อย่างสร้างสรรค์

ชุมชนได้แบ่งปันเหตุการณ์ที่คล้ายคลึงกันหลายกรณี:

  • คนขับรถชาวโปแลนด์ที่พยายามหลบเลี่ยงกล้องจับความเร็วโดยใช้ SQL injection ในป้ายทะเบียนรถ
  • เครื่องชำระเงินที่จอดรถที่ใช้งานไม่ได้เมื่อมีคนสแกน EICAR test string ผ่าน QR code
  • หลายกรณีของบริษัทที่จดทะเบียนด้วยชื่อที่มีความพยายามใช้ SQL injection
  • ปัญหาเกี่ยวกับชื่อที่มีอักขระพิเศษ เช่น 'NULL' บนป้ายทะเบียน

การตอบสนองทางกฎหมาย

รัฐบาลสหราชอาณาจักรได้เพิ่มข้อกำหนดใหม่ในกฎหมายการจดทะเบียนบริษัท โดยเฉพาะการห้ามใช้ชื่อที่ตามความเห็นของรัฐมนตรี ประกอบด้วยหรือรวมถึงโค้ดคอมพิวเตอร์ วิธีแก้ปัญหาทางการบริหารนี้ได้จุดประเด็นการถกเถียงในชุมชนเทคโนโลยีว่าเป็นการแก้ไขที่ต้นเหตุหรือเพียงแค่เปลี่ยนความรับผิดชอบ

การถกเถียงทางเทคนิค

ชุมชนมีความเห็นแบ่งออกเป็นสองฝ่ายเกี่ยวกับวิธีแก้ปัญหาที่เหมาะสม:

  1. ผู้สนับสนุนการป้องกันเชิงลึก โต้แย้งว่าการป้องกันข้อมูลนำเข้าที่อาจเป็นอันตรายตั้งแต่ต้นทางเป็นวิธีที่ปฏิบัติได้จริง โดยเฉพาะเมื่อต้องจัดการกับระบบเก่าและผู้ใช้งานปลายทางที่หลากหลาย

  2. ** ผู้สนับสนุนการแยกวิเคราะห์ที่แข็งแกร่ง** แนะนำว่าวิธีแก้ปัญหาควรเป็นการจัดการข้อมูลนำเข้าที่ดีกว่า โดยยกตัวอย่างเช่นการปฏิบัติของ Let's Encrypt ที่เพิ่มรายการสุ่มเพื่อบังคับให้ไคลเอนต์จัดการกับฟิลด์ที่ไม่คาดคิดอย่างเหมาะสม

ผลกระทบในโลกความเป็นจริง

การจดทะเบียนบริษัทในสหราชอาณาจักรปัจจุบันมีค่าใช้จ่าย 50 ปอนด์ เพิ่มขึ้นจาก 12 ปอนด์เมื่อไม่นานมานี้ และในขณะที่กระบวนการไม่ซับซ้อน ข้อจำกัดใหม่เกี่ยวกับชื่อบริษัทสะท้อนให้เห็นถึงความตระหนักที่เพิ่มขึ้นเกี่ยวกับจุดตัดระหว่างกระบวนการทางธุรกิจแบบดั้งเดิมกับความกังวลด้านความปลอดภัยทางไซเบอร์

มองไปข้างหน้า

เมื่อระบบต่างๆ เชื่อมโยงกันมากขึ้น ความท้าทายในการจัดการข้อมูลนำเข้าอย่างปลอดภัยในขณะที่รักษาความสามารถในการใช้งานยังคงพัฒนาต่อไป เหตุการณ์นี้ได้นำไปสู่การอภิปรายเกี่ยวกับ:

  • บทบาทของกฎระเบียบของรัฐบาลในความปลอดภัยทางไซเบอร์
  • ความสมดุลระหว่างความปลอดภัยและความยืดหยุ่นในการออกแบบระบบ
  • ความสำคัญของการตรวจสอบข้อมูลนำเข้าและการเข้ารหัสผลลัพธ์ที่เหมาะสม
  • ความจำเป็นของกลยุทธ์การป้องกันเชิงลึกในการใช้งานจริง

กรณีนี้เป็นเครื่องเตือนใจว่าการพิจารณาด้านความปลอดภัยขยายขอบเขตเกินกว่าขอบเขตทางเทคนิคแบบดั้งเดิมไปสู่ด้านกฎหมายและการบริหาร ซึ่งต้องการแนวทางแบบองค์รวมในการรักษาความปลอดภัยของระบบ

ข่าวที่เกี่ยวข้อง