アカウント名:
パスワード:
最近の流れですが
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される [kajisoku.net]↓セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 [kajisoku.net]↓今回
最初の段階で一時停止でもして、根本的にセキュリティチェックをすべきだったかと。
今回のトピックに紹介されてる話の中のこれ↓にある通り
28 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:32:03.49 ID:oCfObREz0 オープンソース()笑を見てる限り、当初は3~5人で作り上げたものっぽいね。 あまり大規模プロジェクトじゃなかったから、少ない開発メンバーで頑張ったんだろうね。 で、この手の話にありがちなのは、一度作ったらなかなか直さないってこと。 新規に作るときは気合を入れて仕様書とか頑張って作るんだけど、 いざ完成すると保守が面倒になって(もしくは保守手順が確立されてなくて)、 問題があってもなかなか直せないままでいるのかもしれん。 推測だけど、今回不具合直しているのは、他の開発案件をやってるチームなんじゃないか。 緊急で呼び出されて直してるだけだから、2chで指摘があるときだけ対応している。 そう考えると全部つじつまがあうんだよな。38 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:40:13.34 ID:pjjthOSA0 >>28 俺もそう感じていた 2ch→監視係→助っ人→2chのループ タイミング的に、こんな感じ
28 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:32:03.49 ID:oCfObREz0 オープンソース()笑を見てる限り、当初は3~5人で作り上げたものっぽいね。 あまり大規模プロジェクトじゃなかったから、少ない開発メンバーで頑張ったんだろうね。 で、この手の話にありがちなのは、一度作ったらなかなか直さないってこと。 新規に作るときは気合を入れて仕様書とか頑張って作るんだけど、 いざ完成すると保守が面倒になって(もしくは保守手順が確立されてなくて)、 問題があってもなかなか直せないままでいるのかもしれん。
推測だけど、今回不具合直しているのは、他の開発案件をやってるチームなんじゃないか。 緊急で呼び出されて直してるだけだから、2chで指摘があるときだけ対応している。 そう考えると全部つじつまがあうんだよな。
38 :以下、名無しにかわりましてVIPがお送りします [sage] :2009/12/17(木) 16:40:13.34 ID:pjjthOSA0 >>28 俺もそう感じていた 2ch→監視係→助っ人→2chのループ タイミング的に、こんな感じ
根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
>根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
開発メンバーに、まともな技術者が一人もいなかった場合などは、「抜本的な対策 = メンバー総入れ替え」になることもあります。
日本企業が「抜本的な対策」を取るわけ無いよね。
抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
というリスクもありますよね。ノウハウが人に依存している場合にありがちだけど、不具合そのものよりもこういう状態をリリース前にストップかけるしくみがなかったという管理の問題では?
>抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
ああ、もちろん言うまでもなく「今までより優秀なメンバーに」入れ替えるんですよ。「入れ替えさえすれば今より質が下がっても構わない」という話ではない。
「入れ替えてみたら質が下がった」と言う場合は、人を見る目のない人事部の責任なので、人事部の総入れ替えが待ってます。人事部を入れ替えたら人事部を見る目のない社長の責任なので(ry
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
今までの流れ (スコア:5, 興味深い)
最近の流れですが
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される [kajisoku.net]
↓
セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 [kajisoku.net]
↓
今回
最初の段階で一時停止でもして、根本的にセキュリティチェックをすべきだったかと。
今回のトピックに紹介されてる話の中のこれ↓にある通り
根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
Re:今までの流れ (スコア:1)
# 近くに書店がないので、7andYを利用せざるを得ないID
Re:今までの流れ (スコア:1)
>根本的な対策無しに、場当たりで修正かけつつ運営を続けてたんじゃないかと邪推してしまいます。
開発メンバーに、まともな技術者が一人もいなかった場合などは、
「抜本的な対策 = メンバー総入れ替え」になることもあります。
日本企業が「抜本的な対策」を取るわけ無いよね。
Re:今までの流れ (スコア:1)
抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
というリスクもありますよね。
ノウハウが人に依存している場合にありがちだけど、不具合そのものよりも
こういう状態をリリース前にストップかけるしくみがなかったという管理の問題では?
Re:今までの流れ (スコア:1)
>抜本的な対策としてメンバー総入れ替えしたら、入れ替え前の方がまだましだったでござる。の巻。
ああ、もちろん言うまでもなく「今までより優秀なメンバーに」入れ替えるんですよ。
「入れ替えさえすれば今より質が下がっても構わない」という話ではない。
「入れ替えてみたら質が下がった」と言う場合は、人を見る目のない人事部の責任なので、人事部の
総入れ替えが待ってます。人事部を入れ替えたら人事部を見る目のない社長の責任なので(ry