パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • by Anonymous Coward on 2005年04月21日 15時40分 (#726086)
    システムにはいつもこういった問題ができてしまうものですが、公官庁系のシステムには特に酷い物が多いように思えます。

    セキュリティの基礎も知らないところが開発するからある程度仕方ないですけどね。

    こうならない妙案ありますかね?
    • by Anonymous Coward on 2005年04月21日 16時33分 (#726102)
      公官庁系のシステムでセキュリティの基礎も知らないところとなると某F社のイメージが強いのですが実際はどこなんでしょう?
      親コメント
    • by Anonymous Coward on 2005年04月21日 20時58分 (#726175)
      元請けから、どんどん下請けに流れてますからね
      大手が受注しても、作ったり運用したりするのはどこかの派遣会社から来た人だし
      なので、運用現場になると大変な状態!!
      モラルも低いのでいろいろとモノがなくなったりします
      そのうち某航空会社のようにボロボロと醜聞が出てくるようになるんじゃないかな
      親コメント
      • モチベーションの問題が大きいかなと思う。
        大きな案件の1モジュールを、仕様定義書だけ渡され作れ言われて
        作ってると、やってる作業が卑屈に思えてきて胸を張れなくなる。
        派遣だと一層っていうのはあるかもしれんけど、基本的に社員でも
        PGレベルではほぼ同条件ですからね。

        ちなみにモノなんかなくなる職場ではなく、むしろ適宜処分しないと
        どんどん資料(一回見れば終わり的な)が積み重なって死ねる。
        でも、成
    • > 公官庁系のシステムには特に酷い物が多いように思えます。

      セキュリティに限らず酷いものが目立ちますね。
      ぼったくられているんでしょうね。

      > こうならない妙案ありますかね?

      できたものの出来栄えを評価しないからなんでしょうね。
      仕様さえ満たしてればどんなんでもかまわないと。
      • by gtk (14477) on 2005年04月22日 13時51分 (#726475) 日記
        今回バレた案件は、配布したインストーラの中で Java JRE をサイレントインストールしつつ、VM のポリシファイルを不適切な形に書き換えるって手合いのもの。
        また、インストーラの内部に Sun JRE が同梱されていることを隠し、readme にある Copyright を悉く官庁のものにするという悪質な手合いのものもあったりする。サイレントインストールするものは Java VM だけとは限らない。さすがに1つしか実例を知らないが、 GPL の保護下にあるコードを改変した上で配布し、なおかつ copyright を (その官庁の名前に) 書き換えるといった豪快なインストーラもあった。

        俺もこの手合いのシステムは一時期当事者だったんであんまり語ることができないんだが、とにもかくにも「非機能要件」に該するものはことごとく「仕様にはないのでよきにはからえ」という形になりがち。

        ここで問題なのは、発注する側も仕様書を書く側も、仕事を丸投げするSIerのエンジニアにもそこらへんに意を払うことがない場合だ。これだと、かのような馬鹿インストーラが横行しても偉い人は誰も気づかない。なにしろ、それが「馬鹿インストーラ」だという認識がないから。

        話を Java VM に戻すが、Sun JRE が予告なくサイレントインストールされてしまうと、その PC に他のバージョンの JRE が導入されていると、その環境を破壊してしまうことになる。自分で注意を払わない限り、複数の環境の JRE を共存させることは難しいし、一部のコンポーネントは共存することができずいきなり上書きされる。
        さすがにこれに気づいて苦情を申し入れた利用者も複数いた模様だが、その対処は FAQ にたった一文「Java 環境は共存できません。これは仕様です。」などと付け加えられて終了した。
        親コメント

※ただしPHPを除く -- あるAdmin

処理中...