アカウント名:
パスワード:
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあったWEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?呼吸するように実装してくれないと、発注側としては安心できないのですが。
スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。 俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、
「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」 ↓ 「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」 ↓ 「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
結局契約と金次第 (スコア:0)
「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負」っているからと言って、実際そう作られるかというのは別問題ですよね?
Re: (スコア:3, 興味深い)
マジレスすると、以前委託したECサイトのテスト中、入力項目にfontタグ入れてみたら
見事に文字が赤くなったり大きくなったり。。。
なんでサニタイズせんのじゃ~~!と委託先にクレームあげたら「最初に言え!」とか
開き直られました。「んなもん、常識だろうが!」とこっちも吠え返して、社内にあった
WEBプログラミングのテキストからXSSだのSQLインジェクションへの対策のページを
送りつけてやりました。
こういうのって、要求仕様に明記しないといけないのでしょうか?
呼吸するように実装してくれないと、発注側としては安心できないのですが。
玄関に鍵を付けるなんて要件なかった (スコア:0)
スラドらしい開発する側からの視点で一杯批判レス付いてるけどさ、ちょっとそれでいいのかという気が・・・。
俺も開発する側の人間なので、確かに要件に無いものなんてほいほい作らされてたまるか!という自己防衛の気持ちはあるんだけど、これだけセキュリティが問題になっている昨今、XSSやSQLインジェクションの対策をしないって言うのは、
「注文住宅を作ってください、こういう間取りでこんな感じでお願いします。」
↓
「はい、できましたよ。ご注文いただいたとおりの間取りになっていると思います。」
↓
「あー確かに私の要望どおりですねー・・・あれ?玄関にも窓にも鍵
Re: (スコア:2)
カタログに載っているようなドアだと通常鍵はついていますが、
木工職人に木材からドアを作ってくれと依頼した場合、鍵を指定しないと
鍵なしになるような・・・
なので、特に何も言わなくても期待しているものが一通りそろってることを
求めるならパッケージを買いましょう。
Re:玄関に鍵を付けるなんて要件なかった (スコア:0)
Re:玄関に鍵を付けるなんて要件なかった (スコア:2)