パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。
        俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、

        「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」

        「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」

        「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵

        • by Anonymous Coward on 2010年02月20日 18時31分 (#1721424)

          注文住宅なら戸締りも比較的当たり前(とは言ったって、鍵だってピンキリだから暗黙につけたって絶対顧客の暗黙の要望と合うわけがない)かもしれないが、「倉庫」や「車庫」に置き換えたら全く当たり前ではなくなる。暗黙でつけたら「あ、戸締りもできるようにしてくれたの?サービスしてくれたのね。」で終わりかもしれないし、「なんでこんなチャチな鍵なんだ、ふざけんな馬鹿野郎!」かもしれない。

          そもそも、最初の要件書(あるいは契約締結まででもいいが)の段階で、『(建物で言えば)一般的な防犯対策が施されていること』=『(Webサイトで言えば)一般的なセキュリティを備えていること』と書くくらいは発注側でもできるだろう。それから契約締結までに具体的な内容を詰めればいいだけのこと。

          大体、契約内容に入ってなければ、文句は言えない。
          注文建築だって、建物の契約時には図面のチェックぐらいするだろ?

          契約締結までに提案してくれなかったことに対して文句をいっているのなら、相手を見る眼がなかったことを嘆くべき。

          親コメント
          • by Anonymous Coward

             倉庫にも車庫にも鍵ついていると思う。

            > 相手を見る眼がなかったことを嘆くべき。

             嘆いてる話じゃなかったっけ?

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...