パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

法務省と複数の県の電子申請用ソフトに脆弱性」記事へのコメント

  • システムにはいつもこういった問題ができてしまうものですが、公官庁系のシステムには特に酷い物が多いように思えます。

    セキュリティの基礎も知らないところが開発するからある程度仕方ないですけどね。

    こうならない妙案ありますかね?
    • by Anonymous Coward on 2005年04月21日 15時57分 (#726088)
      > 公官庁系のシステムには特に酷い物が多いように思えます。

      セキュリティに限らず酷いものが目立ちますね。
      ぼったくられているんでしょうね。

      > こうならない妙案ありますかね?

      できたものの出来栄えを評価しないからなんでしょうね。
      仕様さえ満たしてればどんなんでもかまわないと。
      親コメント
      • by gtk (14477) on 2005年04月22日 13時51分 (#726475) 日記
        今回バレた案件は、配布したインストーラの中で Java JRE をサイレントインストールしつつ、VM のポリシファイルを不適切な形に書き換えるって手合いのもの。
        また、インストーラの内部に Sun JRE が同梱されていることを隠し、readme にある Copyright を悉く官庁のものにするという悪質な手合いのものもあったりする。サイレントインストールするものは Java VM だけとは限らない。さすがに1つしか実例を知らないが、 GPL の保護下にあるコードを改変した上で配布し、なおかつ copyright を (その官庁の名前に) 書き換えるといった豪快なインストーラもあった。

        俺もこの手合いのシステムは一時期当事者だったんであんまり語ることができないんだが、とにもかくにも「非機能要件」に該するものはことごとく「仕様にはないのでよきにはからえ」という形になりがち。

        ここで問題なのは、発注する側も仕様書を書く側も、仕事を丸投げするSIerのエンジニアにもそこらへんに意を払うことがない場合だ。これだと、かのような馬鹿インストーラが横行しても偉い人は誰も気づかない。なにしろ、それが「馬鹿インストーラ」だという認識がないから。

        話を Java VM に戻すが、Sun JRE が予告なくサイレントインストールされてしまうと、その PC に他のバージョンの JRE が導入されていると、その環境を破壊してしまうことになる。自分で注意を払わない限り、複数の環境の JRE を共存させることは難しいし、一部のコンポーネントは共存することができずいきなり上書きされる。
        さすがにこれに気づいて苦情を申し入れた利用者も複数いた模様だが、その対処は FAQ にたった一文「Java 環境は共存できません。これは仕様です。」などと付け加えられて終了した。
        親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...