パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴」記事へのコメント

  • by patagon (1453) on 2004年03月15日 17時55分 (#514706) 日記
    > 自分のポイントが1万円分を下回ると
    ・ってプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
    埋め込んだってこと?
    これだとソース見ない限りわからないかもしれないけど、ソース見たら
    すぐ分かっちゃうよね。

    ・テストでは見つからなかったの?
    ひょっとしてその逮捕されたエンジニアがテストも行ったの?
    • Re:自分のポイント (スコア:2, すばらしい洞察)

      by alp (1425) on 2004年03月15日 19時29分 (#514776) ホームページ 日記
      ソース見れば分かるなんてのは、爆笑というか何というか、ナイーブですな。ソースを難読化するツールなんて昔っから山ほどある。一見動いていて、見ても何がなんだか分からないものをリファクタリングする開発者がどれだけいるか、ってかんがえると、この意見全体やっぱり失笑もの。テスト項目で、想定もしていない副作用がある場合までカバーできていると断言できる人は絶対に技術者ではない。
      親コメント
      • by patagon (1453) on 2004年03月15日 20時40分 (#514810) 日記
        > この意見全体やっぱり失笑もの。
        納品物としてソースまで見ることはないのがほとんどと思われるけど、
        特定のIDをなんかするようなヘボなコードは入れないと思ったんですよ。
        万が一ソースを見られたらその時はそのIDをもとに誰かってわかるでしょう。
        だから特定のIDを区別するようなコーディングをソース中に埋め込まなくても
        特定のIDの時はなんか特別の処理をしてくれるような仕組を埋め込む方法が
        あるのか知りたかったんですけどね。
        親コメント
        • 仮の話 (スコア:2, 興味深い)

          by dreambug (11354) on 2004年03月15日 21時17分 (#514835)
          if (userrec->userid == TESTUID1) {
                CheckIdRecord(userrec); /* DATA Check */
          }

          なんて書き方して肝心のモジュールはライブラリにぶち込んで、
          ソースは消してしまう。ってやると、
          疑ってかからない限り普通にソース読む人は発見できないんじゃないかな?
          非標準ライブラリのソースが全部あるかどうか確認とか、
          ライブラリ削除して再構築できるかチェックなんて普通してませんよね?

          ID判定そのものをライブラリに隠蔽したほうがいいのか
              checkIdRecord(userrec); /* DATA Check */
          これじゃココでの説明が上手くいかない
          親コメント
          • by G7 (3009) on 2004年03月16日 1時06分 (#514969)
            >ライブラリ削除して再構築できるかチェックなんて普通してませんよね?

            XPとかが教えるところの「毎日フルビルド(だったっけ?)」というプラクティスが
            こんなところでも役立つとわ(^^;

            XPって、良い意味で「隠し事が出来ない」やり方だよね。
            まあ、普通に作ってりゃソフトなんてものは
            隠し事しないに限るもんだが。
            親コメント
            • by Anonymous Coward
              しててもその過程で「ライブラリファイルを削除」しないと
              ソース消されたモジュールは残り続けますよ?
              普通のMakefileってライブラリに対しては
              「新しくなったオブジェクトの入れ替え」になりますよね?
              「ライブラリを削除してクリエイト」になっていないと
              この場合は露見しませんよ
          • Re:仮の話 (スコア:1, 参考になる)

            by Anonymous Coward on 2004年03月16日 10時36分 (#515125)
            バイナリ隠蔽、に1票。
            「(納品された通販会社はともかく)システム構築を請け負った開発元の引継ぎ者が、その後ソースを一切見ない」という前提でこれほどのリスクを侵すとは思えない。ライブラリかロードモジュールそのものを作成して、システムに組み込んで離任……ってセンじゃないかなあ。
            容疑者の開発環境って押収したのだろうか? よもや会社の環境に不正なソースを残すハズはなかろうから、出てくるとしたら自前のPCとかからだと思うんだが。

            押収といえば、せしめた本やらDVDは全部持ってたんだろうか? それともヤフオクで転売?
            #後者だとすると、オークションの履歴も捜査対象に入るのかな?
            親コメント
      • by Anonymous Coward
        >ソースを難読化するツールなんて昔っから山ほどある
        そんなツール使っているんですか?

        コードのメンテの引き継ぎなんてできなくなるし、
        そんな難解なコードはうちのプロジェクトではつっかえされますよ。
      • by Anonymous Coward
        > ソース見れば分かるなんてのは、爆笑というか何というか、ナイーブですな。

        まあソースを見て簡単に分かるか?と言われたら疑問だというのは賛成だが、
        爆笑するほど世間知らずでもないなぁ。
        世の中とんでもないのがまかり通るってのをずい
      • by Anonymous Coward
        >絶対に技術者ではない

        まあ、断言できない人は世の中を生きていけないかと。
        客に向かって「想定もしていない副作用がある場合はカバーできていません」というの?
      • by Anonymous Coward

        一見動いていて、見ても何がなんだか分からないものをリファクタリングする開発者がどれだけいるか、ってかんがえると、この意見全体やっぱり失笑もの。

        笑われてるのはあんたですよ。
        実際の現場ではなかなか難しいのはわかってるつもりだけど、
        それが当然だと開き直る人間にはなりたくないなぁ。
    • by seeds (20964) on 2004年03月15日 22時47分 (#514883)
      『ソースを検査される恐れがナイ』。
      『もし検査されてもソースを追える人材がイナイ』
      『テストでバレる心配がナイ』。
      『テストも自分がやらされている』……。

      等の自信/確信が有ったからこそそのしくみを組み込んだのではないでしょうか。まあ、簡単にバレるような環境ならそんな危険は冒さないでしょうね。たぶん

      --
      /* Seeds */
      親コメント
      • by Anonymous Coward
        私の場合、
         『ソースを検査される恐れがナイ』
         『テストも自分がやらされている』
        に該当してます。

        同じような環境のSE/PGって結構多いんじゃないですかねぇ?

        #一部上場企業に派遣されてる身なのでAC
        • by Anonymous Coward
          ditto.

          企業の大小を問わず、デスマーチに入ればそうなると思います。
          #ものの本によると、プロジェクトの半分はデスマーチでしたっけ?
          #ということは?
          • プロジェクトは必ずデスマーチになる法則。
            言い換えれば、
            必ず人は楽な方に流れる法則。
            もう一つ、
            人は欲を持つ動物・・・あれもこれも欲しい・・・

            デスマーチに陥ったプロジェクトはさっさと切り上げるのがよろしいかと。
      • by Anonymous Coward

        今行っている会社が、そういう人がやってた。

        業務で作ったプログラムに個人のライセンス埋め込んで、「クビにされたらライセンスを停止する」などと会社を脅したりしてたよ。(COM コントロールとかなんで、ライセン

    • > ソース見たらすぐ分かっちゃうよね。

      納品物のソースをいちいちチェックするなんてのは非現実的ですから、見つかるとしたらソースレビューのタイミングですね。
      開発者自身がレビューに出すソースをすりかえたりできるようなら、それもムダ。

      > ・テストでは見つからなかったの?

      そりゃ無理でしょう。
      その特別なIDを使わない限り発生しない現象なんだし。
      親コメント
    • by shigezo (2455) on 2004年03月15日 18時07分 (#514719) 日記
      >てプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
      埋め込んだってこと?

       さすがにそこまであからさまな手段はとらなかったんではないかなぁ?
       ユーザ情報のテーブルに意味不明のカラムを複数用意しておいて
       その部分を難解なロジックで参照して・・・云々とか・・

      >・テストでは見つからなかったの?
       表面的な動作テストやシステムテストでは見つかり難いでしょうねぇ

       ま、なんにしてもソースを見ていないに1票。

       重蔵。
      親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...