アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
心配なのは (スコア:1)
塞いだはずの穴が次のバージョンで復活するんですよね。セキュリティに関する筋の通った考えがないので、対処療法はできるけれどセキュアなシステム構築
Re:心配なのは (スコア:1, 興味深い)
という話は別にして、
純粋な「職業」プログラマ(単なるお仕事としてソフトを書いてる人々)
というのはかなりセキュリティに無頓着、っていう感じがします。
普通に動かしててコケるコードを書いたらガンガン言われて直させられますが
バッファオーバーフローにしてもクロスサイトスクリプティングにしても
かなり計算されたアタックを掛けられない限り問題が露呈しないわけだし
普通のソフトのバグ出しのプロセスだと、それ以前のレベルのバグ出しで精一杯。
よほどコードを書いている本人の意識が高いか、
さもなければ組織全体の意識が高いか、
でないとできてくるコードのセキュリティって向上しません。
先日内製の小さなWebサーバの開発にかかわるミーティングに出席したのですが
うちみたいな場末のソフト開発現場では、バッファオーバーフローという言葉すら
一般化していません。そりゃあ取ったバッファより長い入力を受け取れば
オーバーフローするのはするでしょうけど何が問題なんですか?
そもそもそんな入力入れる奴ぁいませんよ。
クラッシュするだけだしクリティカルな用途じゃないし、
リスタートすればOKでしょ?みたいなトーンです。
どういうリスクがあるか自分のレベルで精一杯解説するメールを書きながら、
ああMSでもこんなレベルの奴がいっぱい働いてんだろうなあ、と想像しているんだけど。
Re:心配なのは (スコア:1)
> というのはかなりセキュリティに無頓着、っていう感じがします。
まったく同感です。
私の居たSIでは、特定分野の専門部隊が存在していたいため、
特定の技術・製品に関するセキュリティなどの情報が
管理されていません。
私がかかわったWebアプリケーションの場合でも、
クロスサイトスクリプティングの脆弱性は認識されていませんでした。
Web系システムではセッション管理などに特に気をつけて
設計しなければならないにもかかわらず、
大半が普通の業務システム系SEが設計しているのが
現状ではないでしょうか。
産業技術総合研究所の高木浩光氏の調査でも、調査対象の大半の商用サイトでクロスサイトスクリプティングの
脆弱性が確認されています。
Re:心配なのは (スコア:1)
問題は、Microsoftのセキュア経験値が一向に増えないことです。
現状は、いつまでも同じ間違いを繰り返している鶏頭状態でしょう?元がスタンド・アローン屋さんだから最初は分からないのも無理はないけれど、経験したことくらい学んでほしい。周りにも迷惑がかかっちゃうんだからさ、いつまでもインターネットのお荷物でいるのはどうかと思うぞ。
それができないのなら、Windowsからインターネット接続できないようにして、昔のMsNでがんばってほしい。インターネットはWindowsが使えないMS劣等民が大事に育てますから:^)。