パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。
        俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、

        「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」

        「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」

        「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵

        • by Anonymous Coward

          少なくとも、これは、プログラマーの責任じゃなくて、上流設計での問題ですね。上流が仕事サボって「常識だろう」とか言い出したら、プログラマーは怒ってよい。もちろん、ツッコミ返してもいいけど、それだったら、その人が仕様書作ればいいのだし。

          • by Anonymous Coward on 2010年02月20日 16時43分 (#1721383)
            素直に考えようよ。 元記事のように、Webサイトの開発委託なのだったら 当然、あらゆる入力文字列に対して異常な結果(まあ、fontが赤になるのが異常なのかは文面だけではわからないが、 たぶんjavascriptのコードがそのままはいったりするんだろう)をもたらしたりしないことは考慮しなくちゃいけないだろうと思うよ。 そういうふうに要求仕様かけ、ってのならそうかもな。
            親コメント

犯人はmoriwaka -- Anonymous Coward

処理中...