アカウント名:
パスワード:
DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。独自の脆弱性があるだろうけど突かれる恐れが低いし安全。
作った本人が退職してメンテも更新もできなくなって破綻する未来が見える
PC-98ノートのWin95DOS窓で動かしてるdBaseで組まれたデータベースシステムを今も使い続けている弊社の悪口はやめるんだもろちんスクリプト作った人はもういない、何をやっているかわからない、なぜか2台動いていて毎朝ファイルを同期させてるけど何のためにやってるかわからない、とりあえず2.5インチATA-HDD買ってきて容量クリッピングしてHDDだけ入れ替えて使ってる電源入らなくなったらもう終わりだね。何度も言ってるのに変えようとしないからもうどうにでもなーれ
こういう独自実装が残るケースってそもそも本人しかいじらずに済んでいて、変更する機会が元々少ない領域で数年単位で古くなっているから、オープンソースを活用していてもある程度の猛者しか変更することができないと思う破綻する時は本人のせいにせず、組織の実力が下がっていると認識すべきだと思うよオープンソースの方が汎用的で難しい事もあるから、数年先を意識して継続的に品質を維持する努力を組織的に行うほうが大事
けど、内製しててもプロジェクト単位で人集めてると失われた文明と遺跡だらけになるよね
例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。
XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。
既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。
とりあえず、HTTPとHTMLを使うのをやめることから始めようか。
TCP/IPとか公共網を使うのをやめるのも重要
独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。
そしてCSVファイルがWebから丸見えでダウンロードできてしまうのですね分かります。
そして、バッファオーバーフローなどの古典的な脆弱性にやられるわけですね。
俺は普通にバグや低パフォーマンス、作業コストの増大が怖いけど、それで生産性を上げられる人もいるだろうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
独自実装の魅力 (スコア:0)
DBにしても何にしても既存のものを使うと新たな脆弱性発見などですぐに攻撃対象になってしまう。
用途にもよるけどたいしたものじゃなければ完全に無からの独自実装してしまったほうがいいから、できるだけそうしてる。
独自の脆弱性があるだろうけど突かれる恐れが低いし安全。
Re: (スコア:0)
作った本人が退職してメンテも更新もできなくなって破綻する未来が見える
Re: (スコア:0)
PC-98ノートのWin95DOS窓で動かしてるdBaseで組まれたデータベースシステムを今も使い続けている弊社の悪口はやめるんだ
もろちんスクリプト作った人はもういない、何をやっているかわからない、
なぜか2台動いていて毎朝ファイルを同期させてるけど何のためにやってるかわからない、
とりあえず2.5インチATA-HDD買ってきて容量クリッピングしてHDDだけ入れ替えて使ってる
電源入らなくなったらもう終わりだね。何度も言ってるのに変えようとしないからもうどうにでもなーれ
Re: (スコア:0)
こういう独自実装が残るケースって
そもそも本人しかいじらずに済んでいて、変更する機会が元々少ない領域で数年単位で古くなっているから、
オープンソースを活用していてもある程度の猛者しか変更することができないと思う
破綻する時は本人のせいにせず、組織の実力が下がっていると認識すべきだと思うよ
オープンソースの方が汎用的で難しい事もあるから、
数年先を意識して継続的に品質を維持する努力を組織的に行うほうが大事
けど、内製しててもプロジェクト単位で人集めてると
失われた文明と遺跡だらけになるよね
Re: (スコア:0)
例えばXSS脆弱性なんて「有りもの」から探すんじゃなくて、ほとんどは独自実装から見つけ出すもの。
だから無限に沸いて出てくるし、それを食い扶持にするバグバウンティも成り立っている。
独自実装は無差別攻撃には強いかもしれないけどターゲット攻撃には弱くていいのか? という問題でもあるので単純比較は難しい。
Re: (スコア:0)
XSSのようなものは既存でも独自でも対策しておく必要がある。その手間はどちらを使っていても変わらないよ。
既存のものだとそれに加えてシステムの脆弱性修正が加わる。この存在が非常にやっかい。なにせどこに弱点があるのかが世界中に公開されてしまい誰でも攻撃に使えるから。常に最新情報を追って修正しないといけない。
独自だとシステムの脆弱性があってもその情報が出回らないからそれを使われる可能性が少ない。
Re: (スコア:0)
とりあえず、HTTPとHTMLを使うのをやめることから始めようか。
Re: (スコア:0)
TCP/IPとか公共網を使うのをやめるのも重要
Re: (スコア:0)
独自のものだとそれに加えて自分でコードを修正しなきゃいけない。この存在が非常にやっかい。なにせソースやドキュメントは作った当人らの頭の中にしかないので他の誰も修正できないから。常に現状ありのままのコードを追って修正しないといけない。
独自でも見つかった脆弱性の情報は容赦なくexploit-db.comで出回るので修正しないわけにはいかない。
Re: (スコア:0)
Re: (スコア:0)
そしてCSVファイルがWebから丸見えでダウンロードできてしまうのですね分かります。
Re: (スコア:0)
そして、バッファオーバーフローなどの古典的な脆弱性にやられるわけですね。
Re: (スコア:0)
俺は普通にバグや低パフォーマンス、作業コストの増大が怖いけど、それで生産性を上げられる人もいるだろうな。