パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • by Anonymous Coward on 2010年02月19日 23時29分 (#1721081)

        スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。
        俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、

        「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」

        「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」

        「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵がないんですけど!?」

        「え?そんな話聞いてないですよ? そんなの常識だ? 言いがかりはよしてくださいよ、あなたの考慮漏れですよね?
        追加で対応することはできますが、後からだとちょっとお値段がかさんじゃうんですよねー?」

        っていうレベルの話になっているんでは?
        鍵の付け方を知らない会社や自称エンジニアが世の中に大勢居るからと言って、いつまでもこの回答が世間に通じるとは思えないのですが。
        そのうち、法律で一定のセキュリティ要件を満たしてないWebシステムは提供してはいけない、ってことにさえなりそうな気がします。

        # いやむしろ、そういう基準があったほうが、開発側としても幸せなんだけど。

        親コメント
        • 鍵は通常、ドアに含まれています。
          カタログに載っているようなドアだと通常鍵はついていますが、
          木工職人に木材からドアを作ってくれと依頼した場合、鍵を指定しないと
          鍵なしになるような・・・

          なので、特に何も言わなくても期待しているものが一通りそろってることを
          求めるならパッケージを買いましょう。
          親コメント
        • 理想的には受注側が契約前に仕様の不備を指摘して両者で協議できればいいんですけどねえ。

          親コメント
        • by Anonymous Coward

          少なくとも、これは、プログラマーの責任じゃなくて、上流設計での問題ですね。上流が仕事サボって「常識だろう」とか言い出したら、プログラマーは怒ってよい。もちろん、ツッコミ返してもいいけど、それだったら、その人が仕様書作ればいいのだし。

          • by Anonymous Coward
            素直に考えようよ。 元記事のように、Webサイトの開発委託なのだったら 当然、あらゆる入力文字列に対して異常な結果(まあ、fontが赤になるのが異常なのかは文面だけではわからないが、 たぶんjavascriptのコードがそのままはいったりするんだろう)をもたらしたりしないことは考慮しなくちゃいけないだろうと思うよ。 そういうふうに要求仕様かけ、ってのならそうかもな。
        • by Anonymous Coward

          注文住宅なら戸締りも比較的当たり前(とは言ったって、鍵だってピンキリだから暗黙につけたって絶対顧客の暗黙の要望と合うわけがない)かもしれないが、「倉庫」や「車庫」に置き換えたら全く当たり前ではなくなる。暗黙でつけたら「あ、戸締りもできるようにしてくれたの?サービスしてくれたのね。」で終わりかもしれないし、「なんでこんなチャチな鍵なんだ、ふざけんな馬鹿野郎!」かもしれない。

          そもそも、最初の要件書(あるいは契約締結まででもいいが)の段階で、『(建物で言えば)一般的な防犯対策が施されていること』=『(Webサイトで言えば)一般的なセキュリティを備えていること』と書くくらいは発注側でもできるだろう。それから契約締結までに具体的な内容を詰めればいいだけのこと。

          大体、契約内容に入ってなければ、文句は言えない。
          注文建築だって、建物の契約時には図面のチェックぐらいするだろ?

          契約締結までに提案してくれなかったことに対して文句をいっているのなら、相手を見る眼がなかったことを嘆くべき。

          • by Anonymous Coward

             倉庫にも車庫にも鍵ついていると思う。

            > 相手を見る眼がなかったことを嘆くべき。

             嘆いてる話じゃなかったっけ?

アレゲは一日にしてならず -- アレゲ研究家

処理中...