パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • by Anonymous Coward on 2010年02月19日 13時00分 (#1720787)

        >こういうのって、要求仕様に明記しないといけないのでしょうか?
        >呼吸するように実装してくれないと、発注側としては安心できないのですが。

        当然、必要です。
        というか明記されていない仕様を見た事がありませんなw
        「呼吸するように」俺様常識を振り回されると思うと、怖くて受注できません。

        # 日本的馴れ合い要件定義にどっぷりはまってない?
        # 一度海外に投げて「常識」を学んだ方がいいと思うぞ。

        親コメント
        • by Anonymous Coward on 2010年02月19日 13時07分 (#1720793)
          「そんなの常識だ」

          よく聞く言葉ですが、これが出るとそれは大抵発注者の単なる考慮漏れです。
          親コメント
        • by Anonymous Coward

          >入力項目にfontタグ入れてみたら見事に文字が赤くなったり大きくなったり。。。

          ぶっちゃけそういうことを決めることこそが仕様だしなあ。

          [font]をfontタグに変換する仕様だってありだし、半角<>は全部取り除く仕様もありだし。
          <とかにエスケープするのが便利だけど、僅かに手間が増えるし、下手すると
          「タグをエスケープせずにそのまま入れられるようにしてくれ」という注文が出ることもある。
          #つかスラドもそうじゃんか。「テキスト形式(HTML OK)」とかある。

          そういうことを明記してない仕様なんて「ありえない」わけだが、まあニッポンだと
          そういう基本的なことさえ記載されてない「穴だらけの仕様」がジョーシキになっていて、
          発注者側に自覚が無かったりするのが悩みの種だ。

          >というか明記されていない仕様を見た事がありませんなw
          心底羨ましい。
          よほど恵まれた環境で仕事をなされているのですね。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...