アカウント名:
パスワード:
# ここにぶら下げてみる
原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、そうではない場所については、それらに応じた対処の優先順序があるだろうということかと。
# 親コメントの方の言うとおり、損害と利益を天秤にかけてということになるでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
客よ、目くじら立てるなって事? (スコア:1)
コストと期待値を比較評価したと言う論拠を顧客に突きつければ説得出来そうな気がするんですが、 現実にはそんなことはなく、原理主義者とか原理主義者に煽られてその気になってる素人が多すぎる、っちゅうことでしょうか?
素人考えですが、説得は諦めて、「○○の被害が起きたら賠償金いくら」ぐらいまで契約に盛り込んでおいて、 どこまでのセキュリティー対策をやるのかを完全にベンダ側の裁量にしてしまうとか?
Re: (スコア:2, 参考になる)
# ここにぶら下げてみる
原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。
XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、
そうではない場所については、それらに応じた対処の優先順序があるだろうということかと。
# 親コメントの方の言うとおり、損害と利益を天秤にかけてということになるでしょう。
Re:客よ、目くじら立てるなって事? (スコア:0)
ただ、問題は、「自称開発者」の意識があまりにも低い、という所なんだよな。
WEBアプリ関係の質問板に質問に来る「仕事で」という連中は、そもそもHTTPも理解していないレベル、かつ、なんだか上の人に言われた為なのかおっちらこっちらプログラムを作っているだけのレベルで・・・
そんな奴に、少々理解しただけの回答者が「得意気に」ソースをぺたり、と、貼り付けているのが現状で。
(んで、質問者も、ソースを貼り付けてもらえると期待して、そのソースをぺたり、と、エディタに貼り付けるのを「開発」と呼んでる訳だ。)