アカウント名:
パスワード:
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあったWEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?呼吸するように実装してくれないと、発注側としては安心できないのですが。
スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。 俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、
「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」 ↓ 「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」 ↓ 「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵
注文住宅なら戸締りも比較的当たり前(とは言ったって、鍵だってピンキリだから暗黙につけたって絶対顧客の暗黙の要望と合うわけがない)かもしれないが、「倉庫」や「車庫」に置き換えたら全く当たり前ではなくなる。暗黙でつけたら「あ、戸締りもできるようにしてくれたの?サービスしてくれたのね。」で終わりかもしれないし、「なんでこんなチャチな鍵なんだ、ふざけんな馬鹿野郎!」かもしれない。
そもそも、最初の要件書(あるいは契約締結まででもいいが)の段階で、『(建物で言えば)一般的な防犯対策が施されていること』=『(Webサイトで言えば)一般的なセキュリティを備えていること』と書くくらいは発注側でもできるだろう。それから契約締結までに具体的な内容を詰めればいいだけのこと。
大体、契約内容に入ってなければ、文句は言えない。注文建築だって、建物の契約時には図面のチェックぐらいするだろ?
契約締結までに提案してくれなかったことに対して文句をいっているのなら、相手を見る眼がなかったことを嘆くべき。
倉庫にも車庫にも鍵ついていると思う。
> 相手を見る眼がなかったことを嘆くべき。
嘆いてる話じゃなかったっけ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
結局契約と金次第 (スコア:0)
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
Re: (スコア:3, 興味深い)
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?
呼吸するように実装してくれないと、発注側としては安心できないのですが。
玄関に鍵を付けるなんて要件なかった (スコア:0)
スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。
俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、
「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」
↓
「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」
↓
「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵
Re:玄関に鍵を付けるなんて要件なかった (スコア:0)
注文住宅なら戸締りも比較的当たり前(とは言ったって、鍵だってピンキリだから暗黙につけたって絶対顧客の暗黙の要望と合うわけがない)かもしれないが、「倉庫」や「車庫」に置き換えたら全く当たり前ではなくなる。暗黙でつけたら「あ、戸締りもできるようにしてくれたの?サービスしてくれたのね。」で終わりかもしれないし、「なんでこんなチャチな鍵なんだ、ふざけんな馬鹿野郎!」かもしれない。
そもそも、最初の要件書(あるいは契約締結まででもいいが)の段階で、『(建物で言えば)一般的な防犯対策が施されていること』=『(Webサイトで言えば)一般的なセキュリティを備えていること』と書くくらいは発注側でもできるだろう。それから契約締結までに具体的な内容を詰めればいいだけのこと。
大体、契約内容に入ってなければ、文句は言えない。
注文建築だって、建物の契約時には図面のチェックぐらいするだろ?
契約締結までに提案してくれなかったことに対して文句をいっているのなら、相手を見る眼がなかったことを嘆くべき。
Re: (スコア:0)
倉庫にも車庫にも鍵ついていると思う。
> 相手を見る眼がなかったことを嘆くべき。
嘆いてる話じゃなかったっけ?