パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Let's Encrypt、ほかのユーザーのメールアドレスを記載したメールをユーザーに送信」記事へのコメント

  • by Anonymous Coward on 2016年06月17日 8時55分 (#3031041)

    1回動かしたらわかるだろうが

    • by Anonymous Coward

      1回めの動作では分からないでしょ。

      以前に使用したアドレスまで本文に追加してしまうってバグだから、最低2回は動かさないと。
      で、本文に無関係な送付先のアドレスが追加されていることをチェックしなきゃいけなかった。だから気づかなくて当然。
      何十回か動作すれば本文が異常に大きくなっているからそこで気づいたかもしれないが、自分だったら自信ないなあ。
      そもそも送信先が正しく変更されることしかチェックしないだろうし、何十回も動作確認したりはしない。

      このバグは本文に宛先のアドレスを転記する処理で、転記元のバッファを動作毎にクリアすべきなのにしてなかったとか、そのレベルだと思われます。なので動作確認のテストで発見することは期待できないでしょう。
      決まった本文を送るだけなら本文に影響するような処理は作らない(から今回の問題は起きない)し、宛先に応じて本文を加工するならそのロジックを検証するテストが個別に必要。今回はそれができてなかったという事ではないでしょうか。

      • by Anonymous Coward

        1回テストするにも、ツールの性質上複数アドレスは用意してテストするでしょ

        事象も誤解して長々書いてるけど、この人色んな意味で大丈夫?

        • by Anonymous Coward

          個人的には、「1回動かしたらわかるだろうが」の一言で斬って捨てるやつの方が不安だなあ

        • by Anonymous Coward

          ユニットテストで一括送信部分のテストが抜けていたのなら、1つのアドレスにしか送らないということもありうる。そして今回はそうだったと。
          こういうセキュリティに関わる部分はテストすることを明確にすべきですね。全体のカバレッジを見るのではなくて。

          • by Anonymous Coward

            ユニットテストはプログラムの作りに依存するので、
            一括送信時の動作という観点でのテストは(ユニットテストでは)実施出来ない可能性もあります。

            その場合でも複数アドレスの入力受け取り、分割して返すメソッドなど別の個所でNGになるはずですが、
            処理をきっちり分割出来ていなかったりとユニットテストに向かないコーディングをしてれば、
            いくらでもすり抜ける可能性はありますね。
            その場合、ユニットテスト自体の意味がほとんどなくなりますが、
            元々ユニットテストはある程度のプログラミングスキルが無いとまともなテストは出来ないものです。
            (どちらかと言えば、テストとは言うもののプログラミングの一部)

            その場合でもちゃんとテストしてれば、
            他のテストフェーズで今回のケースは検出出来たはず。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...