アカウント名:
パスワード:
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。 この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。 いや警察呼ばれた辺りのツィート見たときはどうなることかと。 この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
問題のプロジェクトの作業に実際に携わった関係者からヒアリングしようとしたら「コード書いた人 [twitter.com]
欠陥がいつまでも治らないケースにも見えますね...談判なんてめんどくさい言葉が出てくる時点でもうちょっと。
そのパターンのようですね。
いやもう、課長と部長に報告したし、埒があかないから更に上に話させてくれと再三掛け合って駄目だった結果がアレなんですけどね…… RT @f_moriya: ゆずさん(@Yuzu_n)の件なんだけど、/.Jでは上に報告するのが筋、ってのが大半の意見だろうけど(略) [twitter.com]
# 話が他所に膨らみ過ぎたのでアカウント削除予定だそうで、ちょっと悪いことをしてしまったかなぁ。 # 俺も/.に聞け辺りでタレこもうかと思ってたので(--
いや、その上長と客の専務のレベルが同じぐらい阿呆なだけだろう。
こんなシステムを1秒でも長く動かすのはナンセンスだ。その間にデータが盗まれていない事をどうやって保証するのかね?
.
まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
ここに書いている人全員が忘れているのは、こういう脆弱なシステムは、「テストに通らない」だけじゃなく「真面目にテストするとコケる」ものなのだ、と言う事実だ。
> まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
テスト系をとめてもしょうがないのでは?#本番系で「システムがダウンするようなテスト」を流すのは正気でないですし。
テスト系をとめてもしょうがないのでは?
ペネトレーションテストを「テスト系」で実施していたなら、最初からこのような大騒ぎにはならない、というあたりに想いを馳せたまえ。
ペネトレーションテストを「テスト系」で実施していたなら、
実運用しているサービスでペネトレーションテストをやったら、場合によってはデータベースの整合性を破壊するなどの問題を起こし、誤課金などの大迷惑をユーザーにかけることになる可能性があります。ユーザーをそのようなリスクにさらすような行為は断固として断り、テスト系を要求するのが技術者倫理というものですね。
仮に、ユーザーをそのようなリスクにさらす行為をしておきながら、セキュリティホールを見つけた途端に突然善人ぶりはじめ、「個人情報漏えいのリスクがー」と叫んでサービスを止めた人がいたら、そんなのは笑い話です。
本人も「本番系のサーバー」と言っているぐらいだし、そこまで馬鹿じゃないでしょう。あなたの主張は、巫女の人に対する侮辱になっていることに、早く気付くべきですね。
その仕事を請けるべきでなかった、は「技術者倫理」の範囲外ですよ。だって仕事を取ってくるのは営業だもの。
今回の話だって営業が別に立ってるのは明らかだし、その部分で技術者本人に責任を求めるのは不当でしょう。
そもそもエンジニアがテスト環境を要求しても顧客側に蹴られるなんてのは、もはや日常風景ですよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
タレこもうとしたら先を越されたでござるの巻 (スコア:2, すばらしい洞察)
まあただより一般的な話として、ここまで致命的なセキュリティ問題が判明したときでも経営者なり上司なりより立場の弱い身として意に逆らってシステム止められるかってのは、正直難しいですよね。
もちろんリスクなり何なりを説明して納得して同意してもらえればいいにしても、今回のように緊急性を理解してもらえずに警察呼ばれて下手したら逮捕、システムは他の人間に再起動させられてセキュリティホールそのままという筋もありえなくはなかったわけで。警察に「これこれこういうリスクがありきわめて危険な状態だったのでシステムを落とした」と説明したところで、こういう場合で緊急避難が通じるかどうかと。
まあそれより何より、今回は「ついったを監視するだけの簡単な取締役です」が偶然巫女テスターさん(17) [srad.jp]を救ったってのが。
>意に逆らってシステム止められるか (スコア:4, 興味深い)
同じく、Twitterでリアルタイムで見てましたけど、自分だったら上司に報告して結論出るのが来月って言われたらもう俺のせいじゃない!って開き直ってるなぁとか思ってました。
この決断が出来るのは会社員としてはアレかもしれないけど、職業人としては凄いなぁとプロ意識を感じました。
いや警察呼ばれた辺りのツィート見たときはどうなることかと。
この結末に落ち着いてくれて本当に良かったです。良い前例になったという意味でも。
・・・てか、タレコミはここまでだけど、今朝の後日談も酷い。
Re: (スコア:5, すばらしい洞察)
私が同じ立場だったら、服装を正して、さらに上の立場の人のところに直談判です。どこまでも上に話し合いに行きます。
あるいは、相手が問題の重要性を理解してくれるまで徹底的に説得するか。
何が何でも、言葉のやりとりでルール内で解決させるのが、大人の仕事です。
本件で、むしろ好印象だったのは周囲の大人たちで、営業さんも社長さんも若い彼女のフォローをしているところでした。
大人として、若い彼女をフォローしています。
ルールをたった1度飛び越えた彼女を潰さずに済んだところが素晴らしい。
そして、彼女を放免せず、事を起こした責任としてか、ちゃんと修正業務に彼女を就かせているところなど、素晴らしい大人の対応です。
Re: (スコア:1)
欠陥がいつまでも治らないケースにも見えますね...談判なんてめんどくさい言葉が出てくる時点でもうちょっと。
談判しても駄目だったら (スコア:0)
そのパターンのようですね。
# 話が他所に膨らみ過ぎたのでアカウント削除予定だそうで、ちょっと悪いことをしてしまったかなぁ。
# 俺も/.に聞け辺りでタレこもうかと思ってたので(--
Re: (スコア:0)
Re: (スコア:1)
いや、その上長と客の専務のレベルが同じぐらい阿呆なだけだろう。
こんなシステムを1秒でも長く動かすのはナンセンスだ。
その間にデータが盗まれていない事をどうやって保証するのかね?
.
まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
ここに書いている人全員が忘れているのは、こういう脆弱なシステムは、「テストに通らない」だけじゃなく「真面目にテストするとコケる」ものなのだ、と言う事実だ。
fjの教祖様
Re: (スコア:0)
> まぁ、もっとも。ペネトレーションテストなら、「システムがダウンするようなテスト」を叩き込んでシステムを停めるべきであって、ジェントルに shutdown するのは甘いな、とは思いますが。
テスト系をとめてもしょうがないのでは?
#本番系で「システムがダウンするようなテスト」を流すのは正気でないですし。
Re: (スコア:1)
ペネトレーションテストを「テスト系」で実施していたなら、最初からこのような大騒ぎにはならない、というあたりに想いを馳せたまえ。
fjの教祖様
Re: (スコア:0)
実運用しているサービスでペネトレーションテストをやったら、場合によってはデータベースの整合性を破壊するなどの問題を起こし、誤課金などの大迷惑をユーザーにかけることになる可能性があります。ユーザーをそのようなリスクにさらすような行為は断固として断り、テスト系を要求するのが技術者倫理というものですね。
仮に、ユーザーをそのようなリスクにさらす行為をしておきながら、セキュリティホールを見つけた途端に突然善人ぶりはじめ、「個人情報漏えいのリスクがー」と叫んでサービスを止めた人がいたら、そんなのは笑い話です。
本人も「本番系のサーバー」と言っているぐらいだし、そこまで馬鹿じゃないでしょう。あなたの主張は、巫女の人に対する侮辱になっていることに、早く気付くべきですね。
Re:談判しても駄目だったら (スコア:1)
その仕事を請けるべきでなかった、は「技術者倫理」の範囲外ですよ。
だって仕事を取ってくるのは営業だもの。
今回の話だって営業が別に立ってるのは明らかだし、
その部分で技術者本人に責任を求めるのは不当でしょう。
そもそもエンジニアがテスト環境を要求しても顧客側に蹴られる
なんてのは、もはや日常風景ですよ。