アカウント名:
パスワード:
×:IoTデバイスの9割はセキュリティを考慮せずに開発されている〇:IoTデバイスの9割はセキュリティなんて無視でいいのでその分安く早く作れと言われて開発されている
つまり「セキュリティを考慮しない」のではなく「セキュリティを考慮したからこそ無駄な予算と時間だと企画側が判断してそれを削る」のが正解なような気がする。なのでエンジニアの良心でちゃんとやる場合も否定しないけど、組織としてなってないので出来てくるものもまあ大抵は…という事になる場合が半径50m以内でよくありますorz
まあ、実際そうですよ。このスレはどれも正しい。「開発費抑制」「開発期間短縮」という動きもあるし、そもそもセキュリティに関する基本的な知識・発想が欠如している。もう随分前になりますが、組込機器開発でInternetへの接続機能を追加した際に、開発責任者として基本的なセキュリティ上の要件(Web管理画面へのhttpsでのアクセス、保守にはtelnet使用せずSSHを使う、パスワードのハッシュ化、初期パスワードの擬似ランダム化、PAP認証ではなくCHAP認証、リリース版はtftpブート/ftpサーバ禁止などなど)を入れましたが、結局、ソフトチームはガン無視、抗議しても事業責任者曰く「なんでこんなもの要るんだ!誰がイチイチ狙うっていうんだ!」でそのまま出荷。数年後、SHODANのようなものが現れ、仕様不備を叱責されるとそのままこっちへスルーしてきましたとさ。しかも「なんでちゃんと基本的な対策ができてないんだ」ってね。「お前が要らんって言っただろ」って言い返しても、そんな覚えないって。議事録も残ってるのにね(笑)。報告書では当初の要件定義の不備として報告されちゃいましたが、仕様書には今でも削除履歴が残っているはず。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
所詮は時間とゼニの問題 (スコア:2, 興味深い)
×:IoTデバイスの9割はセキュリティを考慮せずに開発されている
〇:IoTデバイスの9割はセキュリティなんて無視でいいのでその分安く早く作れと言われて開発されている
つまり「セキュリティを考慮しない」のではなく「セキュリティを考慮したからこそ
無駄な予算と時間だと企画側が判断してそれを削る」のが正解なような気がする。
なのでエンジニアの良心でちゃんとやる場合も否定しないけど、組織としてなってないので
出来てくるものもまあ大抵は…という事になる場合が半径50m以内でよくありますorz
Re:所詮は時間とゼニの問題 (スコア:0)
まあ、実際そうですよ。このスレはどれも正しい。「開発費抑制」「開発期間短縮」という動きもあるし、そもそもセキュリティに関する基本的な知識・発想が欠如している。
もう随分前になりますが、組込機器開発でInternetへの接続機能を追加した際に、開発責任者として基本的なセキュリティ上の要件(Web管理画面へのhttpsでのアクセス、保守にはtelnet使用せずSSHを使う、パスワードのハッシュ化、初期パスワードの擬似ランダム化、PAP認証ではなくCHAP認証、リリース版はtftpブート/ftpサーバ禁止などなど)を入れましたが、結局、ソフトチームはガン無視、抗議しても事業責任者曰く「なんでこんなもの要るんだ!誰がイチイチ狙うっていうんだ!」でそのまま出荷。
数年後、SHODANのようなものが現れ、仕様不備を叱責されるとそのままこっちへスルーしてきましたとさ。しかも「なんでちゃんと基本的な対策ができてないんだ」ってね。「お前が要らんって言っただろ」って言い返しても、そんな覚えないって。議事録も残ってるのにね(笑)。報告書では当初の要件定義の不備として報告されちゃいましたが、仕様書には今でも削除履歴が残っているはず。