パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

最も危険なプログラミングエラーTop 25、2010年版」記事へのコメント

  • by Anonymous Coward

    「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?

    • Re: (スコア:3, 興味深い)

      マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
      見事に文字が赤くなったり大きくなったり。。。

      なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
      開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
      WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
      送りつけてやりました。

      こういうのって、要求仕様に明記しないといけないのでしょうか?
      呼吸するように実装してくれないと、発注側としては安心できないのですが。

      • by heavensgate (21016) on 2010年02月22日 19時07分 (#1722204)

        日本人同士であればまだ阿吽の呼吸でやってくれたりしますが、海外、ことに中国系の場合、
        「書いてないことは全くもってやらない」
        ですよ。書いてあることは「書いてあるとおりに」やってくるけど。
        ※そもそも設計に矛盾があったとしても「書いてあるとおりに」実装してきます

        日本人であれば、実際に組んでいるときに「あれ? これ何かおかしくない?」と気付いたら、それとなく設計に尋ねてみたりするなどして事前に潰せたりするのですが、日本人以外の場合はそのようなことはなく、「設計が気付いてないならしったこっちゃない。うちらは指示通りに組むだけだし」と。分業の徹底といってしまえばそれまでかもしれませんけど。

        まあ、「書いてあること無視する」どこぞの IT よりはマシですが……

        --
        -- To be sincere...
        親コメント

犯人はmoriwaka -- Anonymous Coward

処理中...