アカウント名:
パスワード:
ここまで設定不備が多発するって、もはや設定をチェックするだけの サービス とかでも金が貰えるんじゃないかな。
Salesforceは知らんけど、用途によって設定は様々で、アプリの詳細がわからんと設定の変えようがなかったりするんじゃね?
「この機能は使ってますか?」「わかりません」→ じゃあムリです。
「じゃあ、この機能は?」「使ってません」「じゃあOFFNいしときますね」→ 実は使っていて不具合発生
そういうリスクがあるから、誰が作ったかも分からんアプリの設定なんてやりたくないよ。
SE では、この機能はおっふん♡しておきますね客 お…おっふん?SE はい、おっふん♡
なお、このシステムのドキュメントには「カスタマイズ」の言葉はなく「御社色に染めて♡」と記されているという。
経験者ですけどまさにそれですよ。なんの設定がどこに影響するか確認するのも一苦労。うかつに権限絞ると思わぬところで落ちる。Salesforceに限った話じゃないけど、この手のシステムはカスタマイズは最小限で運用するべきだが、日本じゃ「業務をシステムに寄せる」意識がほとんどないからガリガリにカスタマイズするせいで余計機能と設定とが入り組んで九龍城
デフォルトがなんでもできる方向に倒されていると、後から権限を絞るのは難儀するし、抜けも出ますよね。システムを売るほうとしてはあれも出来ます,これも出来ますって言いたいから、DefaultでONにした状態で展開しているってことはないですかね?
仮にそうだとしても、適切な権限設定は開発を請け負った業者の仕事なんだから、「Salesforceの不備」ではないよ。Salesforce関係なく、デフォルト設定なんて信用しちゃいけないのは鉄則だし。(一般的なチェックリストくらいは、あると嬉しいけど。)
自動車に制限速度80kmのリミッターがついてなくて、時速81kmで事故を起こそうと時速40kmで事故を起こそうと、それはドライバーの責任。ブレーキが壊れてるとか、アクセルが戻らなくなるとかならメーカーの責任かもしれないが。
「あれは情報漏洩を誘導しているようなものですよ、ウチはそんなことはしませんよ」って売り込めるから競合もチャンスかも
大真面目に人手による設定チェックの外部サービス受けたいと思っているシステム管理者は多いと思う。決裁権限持っている人には(被害出る前には)少ないだろうからその予算を申請し説得するだけの資料を用意するだけのサービスでも金がもらえそう。
それってセキュリティコンサルティング系でやっているサービスか。
そしてマイナンバーのごとく [mag2.com]契約で禁じても再委託されて情報漏洩するとw
せっかくのクラウド()サービスなんだしSalesforce側で定期的に不備やリスクのある設定を顧客に通知するとかすればいいのにと思っているのですが、難しいんですかね?
ひょっとしてSalesforce自身もSalesforceを理解していないとか
使ったことないから見当違いかもしれないけれど、Salesforceってアプリストアみたいなもので、個別のアプリについて詳細は把握していないんじゃないの?
まず「あえて」そうしているか「設定漏れ」でそうなっているかの判断はSalesforce側での判断はかなり難しいだろうと思う。
その上で怪しいものはすべて通知しろというのであれば、例えば広域で絞ったアクセスをユーザやレコード単位では許可しているなど、広域の設定だけ見て「リスクあり」かどうかの判断は難しい。広域の設定だけ見て「リスクはない」という結果を出してしまうと本来与えるべきではない安心を与えてしまいかねない。
といった問題があるかなと思いました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ビジネスチャンス (スコア:0)
ここまで設定不備が多発するって、もはや設定をチェックするだけの サービス とかでも金が貰えるんじゃないかな。
Re:ビジネスチャンス (スコア:1)
Salesforceは知らんけど、用途によって設定は様々で、アプリの詳細が
わからんと設定の変えようがなかったりするんじゃね?
「この機能は使ってますか?」「わかりません」→ じゃあムリです。
「じゃあ、この機能は?」「使ってません」
「じゃあOFFNいしときますね」→ 実は使っていて不具合発生
そういうリスクがあるから、誰が作ったかも分からんアプリの
設定なんてやりたくないよ。
おふとぴ (was Re:ビジネスチャンス) (スコア:2)
SE では、この機能はおっふん♡しておきますね
客 お…おっふん?
SE はい、おっふん♡
なお、このシステムのドキュメントには「カスタマイズ」の言葉はなく
「御社色に染めて♡」と記されているという。
死して屍 拾う者なし
Re: (スコア:0)
経験者ですけどまさにそれですよ。
なんの設定がどこに影響するか確認するのも一苦労。
うかつに権限絞ると思わぬところで落ちる。
Salesforceに限った話じゃないけど、この手のシステムはカスタマイズは最小限で運用するべきだが、日本じゃ「業務をシステムに寄せる」意識がほとんどないからガリガリにカスタマイズするせいで余計機能と設定とが入り組んで九龍城
Salesforceの不備ってことはないの? (スコア:0)
デフォルトがなんでもできる方向に倒されていると、後から権限を絞るのは難儀するし、抜けも出ますよね。
システムを売るほうとしてはあれも出来ます,これも出来ますって言いたいから、DefaultでONにした状態で展開しているってことはないですかね?
Re: (スコア:0)
仮にそうだとしても、適切な権限設定は開発を請け負った業者の仕事なんだから、
「Salesforceの不備」ではないよ。Salesforce関係なく、デフォルト設定なんて
信用しちゃいけないのは鉄則だし。
(一般的なチェックリストくらいは、あると嬉しいけど。)
自動車に制限速度80kmのリミッターがついてなくて、時速81kmで事故を起こそうと
時速40kmで事故を起こそうと、それはドライバーの責任。
ブレーキが壊れてるとか、アクセルが戻らなくなるとかならメーカーの責任かもしれないが。
Re: (スコア:0)
「あれは情報漏洩を誘導しているようなものですよ、ウチはそんなことはしませんよ」って売り込めるから競合もチャンスかも
Re: (スコア:0)
大真面目に人手による設定チェックの外部サービス受けたいと思っているシステム管理者は多いと思う。
決裁権限持っている人には(被害出る前には)少ないだろうからその予算を申請し説得するだけの資料を用意するだけのサービスでも金がもらえそう。
それってセキュリティコンサルティング系でやっているサービスか。
Re: (スコア:0)
そしてマイナンバーのごとく [mag2.com]契約で禁じても再委託されて情報漏洩するとw
Re: (スコア:0)
せっかくのクラウド()サービスなんだしSalesforce側で定期的に不備やリスクのある設定を顧客に通知するとかすればいいのにと思っているのですが、難しいんですかね?
ひょっとしてSalesforce自身もSalesforceを理解していないとか
Re: (スコア:0)
使ったことないから見当違いかもしれないけれど、Salesforceってアプリストアみたいなもので、個別のアプリについて詳細は把握していないんじゃないの?
Re: (スコア:0)
まず「あえて」そうしているか「設定漏れ」でそうなっているかの判断はSalesforce側での判断はかなり難しいだろうと思う。
その上で怪しいものはすべて通知しろというのであれば、
例えば広域で絞ったアクセスを
ユーザやレコード単位では許可しているなど、広域の設定だけ見て「リスクあり」かどうかの判断は難しい。
広域の設定だけ見て「リスクはない」という結果を出してしまうと本来与えるべきではない安心を与えてしまいかねない。
といった問題があるかなと思いました。