アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
技術者でも大丈夫か? (スコア:3, 興味深い)
旧来のOSなどアプリケーションの作成に詳しい方でも、Web技術にあまり詳しくない方がプロジェクトを仕切ると、Webサイトがちゃんと動くか、見た目は大丈夫か?のテストしかしないみたいなことがあったのですが、腕のある技術者でも大丈夫かなぁと思うことがしばしば。
Re:技術者でも大丈夫か? (スコア:5, 興味深い)
あり得た問題です。ここが、XSS脆弱性などと大きく異なるところ。
(Webによって、SQLインジェクションの影響がより広範囲かつ深刻になった、という事情はありますが)
なので、「旧来のOSなどアプリケーションの作成に詳しい方」であれば、仮に「Web技術にあまり詳しくない」と
してもSQLインジェクションは知っているはずで、すなわち「Webサイトがちゃんと動くか」の確認内容にSQL
インジェクションの有無の確認も入っているはずなのです。
Web化によってSQLインジェクションがことさら注目されるようになったということは、旧来のC/Sアプリでいかに
そのあたりがサボられていたか、ということの裏返しのような気がします。
従来も問題はあったのだが、使用者が限られており、影響も
「 "It's mine." を登録しようとするとエラーになるんですけど?」
「それは制限です」
…程度で済んでいた、ということでしょう。
Re:技術者でも大丈夫か? (スコア:4, 興味深い)
程度ならいいのですが、CSで育った技術者の中には、SQL Injectionを指摘すると「何を気にしてるの?」と馬鹿にする向きもありますよ。
曰く
「『その文字は入れないでください』とか言えばいいだけでしょ。」
「悪意をもっているなら法律で対処可能だから気にする必要はありません」
「工数を増すの? 仕事なんだよ。ちゃんと考えたら?」
と。
# いまだに見る問題なのでAC
Re:技術者でも大丈夫か? (スコア:0)
CSシステムだって対策するに決まってます。
データがぶっ壊れる可能性があるんだから。
というか、そんなレベルの低い技術者には会ったことがありません。
新人ならともかく。
Re:技術者でも大丈夫か? (スコア:0)
技術者とされるポジションでそんな反応をするヒトは見た事が無い。
/.Jで時々、技術者のフリして一般人に対する暴論を書き殴ったコメントがあるが、
その類いなのではないか? 言ってる内容が全然技術者視点じゃない。
Re:技術者でも大丈夫か?(オフトピ) (スコア:0)
給料もらえても人生の切り売りもったいない。
嫌々php書いてるのでAC
Re:技術者でも大丈夫か? (スコア:0)
テーブル名らしき日本語(もちろんエスケープされていない)が含まれたアンカーリンクを発見して、
しかもそのテーブル名が間違っており、違う部署の情報が表示されたというのを見たところがあります。
どういう外注に発注したかはしらんが、作るほうも、発注する方もスキルがなさすぎ。
はずかしすぎるので、絶対AC
Re:技術者でも大丈夫か? (スコア:0)
「これが入力されたらどうなります?」
これで反応が薄いようだったら、解説する。それでも反応が薄いようだったら実際にやってみせる。それでも駄目なら、逃げるしかないでしょう。
法律で対処可能といっても実際に被害が出たときに、それが予見できていれば損害賠償の対象になりうるでしょうし、実際予見しているわけですから。加えてこれだけいろんなところで言われていることですからね。技術者だったら「知らなかった」はもう通らないでしょう。対処しないことによる法的なリスクは非常に高いと思います(判例はまだないでしょうけど)。
SQLの罪 (スコア:0)
#この間久しぶりにSQL使ったプログラム書いて
#面倒くせ―なと思っちゃっただけなんですけどね。
Re:技術者でも大丈夫か? (スコア:1)
ですが、未だにこの問題が報告されている現状からしますと,
多いにあり得る状況なんですよ。
Re:技術者でも大丈夫か? (スコア:0)
十分にあり得ます。
授業参観効果 (スコア:2, すばらしい洞察)
十分にあり得ます。
Youthの半分はバファリンでできています。
Re:技術者でも大丈夫か? (スコア:0)
破綻させたり、不必要なヒントを与えたり、仕様外の操作をできるかという視点と想像力が足りなさ過ぎな奴が多すぎ。