パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • by Anonymous Coward on 2010年02月20日 2時34分 (#1721129)

        > こういうのって、要求仕様に明記しないといけないのでしょうか?
        > 呼吸するように実装してくれないと、発注側としては安心できないのですが。

        要求仕様にないってことは、受け入れ試験の基準にもないわけですから、受注側は安心できないでしょうねえ。
        (何をどこまで作れば金を払ってくれるのかわからんということだから)

        ただまあ、大方の請負業者は要求された段階で「実装して欲しければ追加料金だ」なんて言うのを避けて、はじめから仕様追加を見込んだ額を出してきますね。
        で、それを受注側も呼吸するように受けるわけだけど、コストダウンの名の下に見積もりが安い業者に切り替えて痛い目を見たりもする。

        親コメント
        • by Anonymous Coward
          つまり、「入力項目に<font color="red">と入れると文字を赤くする」と、要求仕様に書いてあったんだよ、きっと。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...