パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Web制作者の常識、開発エンジニアの常識」記事へのコメント

  • 複数でやるなら、全員が理解する(理解させる)のは、効率的ではないし、正直無理というのが実感。

    どうせセキュリティの不具合って
    ・無理な遷移やデザインの都合を優先しろと言われた
    ・当初の話には一言もなかった機能をリリース間近に要求される
    ・どうでもいい機能と開発側が勝手に思い込む
    ・本当に知らない(理解力が残念な開発者)
    とかでしょ。

    よく分かっている人たちだけで、フレームワーク独自で作るか
    SpringとかMojaviとかCatalystとかrailsとかカスタマイズして、フレームワークレベルでSQLインジェクションやXSSは対処すべきだと思う。

    それで、ある程度分かっている人たちで、そのベースフレームワークをプロジェクト用に直して、分からない人た
    • とりあえずテスト項目に挙げておけばOKのスタンスです。
      もちろん開発標準とかの中で指示はするけど、信用はしない。

      むしろ、テスト項目として挙げない(もしくはすり抜けてしまう)事の方が
      理解不可能です。
      --

      --- (´-`)。oO(平和な日常は私を鈍くする) ---
      • by Anonymous Coward on 2006年07月27日 2時41分 (#985485)
        セキュリティ分野のテストケースでは完璧なものは作れないと思います。むしろ、想定外の攻撃すらもすり抜けられないための予防線を張れというメッセージも高木氏のキャンペーンに含まれているように思いますが。
        親コメント
        • 同感。

          「正しくないSQLインジェクション対策」で、一見するとSQLインジェクション対策がなされているかのように
          テストをすり抜ける可能性があります。(テスト内容にもよる)

          もちろんテストは必要ですが、それは最後の砦であって、脆弱性についての対策はもっと別の部分でなされる
          べきでしょう。

          # 脆弱性有無のチェックには、テスト駆動開発の手法はそぐわないのではないかと密かに思ったり。

          つうことで、元コメント(#985044 [slashdot.jp])の趣旨にほぼ賛成。
          親コメント

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...