某大手にシステム開発を依頼したら納品されたシステムが「ユーザーIDが正しければパスワードが何でもログインできる」だった時の話

まとめました。
大手 パスワード システム
156
こねこ星人 @konekoseijin

広島でWebクリエイター兼プログラマー兼ディレクター的なお仕事をやっています。

https://t.co/VoTZUIs9eX
こねこ星人 @konekoseijin
むかし、某大手さんにでっかいシステム開発を依頼したところ、納品されたシステムが「ユーザーIDが正しければパスワードが何でもログインできる」というお粗末さで、でもテスト結果報告書を確認したら「間違ったパスワードではログインできない」という項目がクリア済みでから...
こねこ星人 @konekoseijin
担当者に聞いたら、こちらがサンプルとして出したテスト仕様書のフォーマットをちょっと変えて実際にはテストもせずに全部OKにして出しましたって白状してきたっていうびっくり事案があったんだけど、システムの受け入れ側にチェック体制や知識がなかったらこういうシステムもリリースされちゃう...
こねこ星人 @konekoseijin
どうでもいいけど、そこの営業担当がその件の謝罪もかねて一部を修正したドキュメントをメールに添付で送ってきたんだけど、メール本文の締め言葉が「ご笑納ください」になってて、いやいや、笑い事じゃねぇぞって心の中でツッコんだ
でもん@作家 @daemon_novel
@konekoseijin 再委託先でテスト工程でユーザーを変更しての権限周りのチェックをするのに、面倒だからとパスワードチェックを外し、それを戻し忘れて納品、受入テストをせずにそのまま出荷……という感じかな。
裕太@支払いはSuicaで @9tM2UIj7zKaYYJW
@konekoseijin 「ユーザーIDが正しい」かつ「そのユーザーのパスワードが正しい」 これが 「ユーザーIDが正しい」かつ「誰かのユーザーのパスワードが正しい」 「ユーザーIDが正しい」または「そのユーザーのパスワードが正しい」 こういうクソ仕様だったのかなあ (他人事)
けいり飯/業務フロー改善係 フローやExcelについてのご相談はDMで @foodsofaccount1
大手さんではないけれど、パッケージ版購入したシステム、「ネットワーク対応版」と銘打ってあったのに、同時入力したらフリーズして回復せず、強制終了して立ち上げ直したら入っていなかった。 採番で競合しそうな挙動しているなと素人が気づくシステムがそこそこのシェア取るって、ある(事務屋怪談 twitter.com/konekoseijin/s…
d _ a _ l _ l _ P @IshidallP
プログラマーとかITサービスのPMとかじゃない人の認識は現時点でもだいたいこんなもん。 twitter.com/konekoseijin/s…
Rikko/RN.戻ってきた人妻 @curiorikko
あー、どっかでパスワードが大文字/小文字どちらでも関係なく通ってたという話を聞いたような…(文字列ゴニョゴニョしなかったのかとか色々疑問に思ったけど twitter.com/konekoseijin/s…
progknn@五月病(絶賛延長中) @progknn
ありがちというか、品質納期コストに優先順位を付けずに全部やれって現場に押し付けたら、誤魔化しやすい品質をアレするのは必然なのだ。 twitter.com/konekoseijin/s…
toch @Toc82O
そういう事があるので、標準化団体の策定したセキュリティレベルを指定してそれをクリアしていることを条件にしておきます。 ISOも指定しておけばレビューなどしていない事も瑕疵になります。 twitter.com/konekoseijin/s…
どんぺい @JP_sansan
だから品質部が出来て何件バグ出さないといけないみたいなアホみたいな仕組みが出来て。アホな企業に合わせるために出来たんやろな。 twitter.com/konekoseijin/s…
ティファール@非公式 2歳5ヶ月👧 @tfal
社内でずっと使われているプログラム 何かにつけて登録ボタン押させる仕様なんだけど、先月判明したんだけど、実は登録ボタン押しても内部的に何も動いてなかった、、、 twitter.com/konekoseijin/s…
ぴろしき @piroshiki_ni
ここ1年くらい、大手だからって信用してはいけないんだな…ってことを身にしみて感じる twitter.com/konekoseijin/s…

コメント

カスタム兆人 @juEsJsX5eMoEbxx 10日前
発注先が大手でも実際コーディングするのは下請けの中小だからね、しかしチェックスルーは頭おかしい
金目の煮付 @kinmenitsuke 10日前
試験したときはちゃんと通ったけど、後から追加した修正でそのロジックをスルーするようになった、ってパターンは見たことがある。修正したときの影響範囲の判定ミスなんですけど、設計書がしっかりしてないとこの手のミスは稀によくある。
くおんみどり🖖Master_Asia 作品集単行本発売中&iTunes&Spotify等楽曲配信中 @midorik 10日前
第三者には笑い話でも、発注企業やユーザーには恐怖しかない案件( ;´Д`)
森のクマッチング(ぽっけ風) @peerchaky 10日前
境界線テストはタルいし時間掛かるんですよねぇ。 ただ、やってないのにOKして納品はヤバい。 工数とか納期はどんなもんだったんでしょ
かりあげチャーハン&M-Demon @Kariage_Chahan 10日前
ザルチェックフロー:君はただいるだけで正しい
ザッキー🚙🍤 @zakky_san7 10日前
誰か一人でも、ちゃんとした現場の人間がいれば、 あるいは管理側がチェックしていれば、 ここまで酷い代物にはならなそうだけども… 両方とも駄目だったんだろうなぁ(;´Д`) 外注だのオフショアだのすると、 とんでもコードが納品されてきたりするのは、 ありがちな話ではあるんだけども。
mailerdemon @mailerdemon3 10日前
バグ発見、直す、該当部チェックして納品、実は先祖返りしてて過去の別バグが復活ってのもよくある
yuki🌾㊗️5さい🎉⚔ @yuki_obana 10日前
何にせよローンチしなくて良かったねが全てなのです(´・ω・`)
いるーか @iruka12go 10日前
チェックがずさんどころかやってもいないという、通常ならあり得ない状況に陥っていたのは、たいていこの案件か過去の案件で納期が逼迫していて、最後の検証の工程にしわ寄せがきてしまったから。現場も問題だけど、それ以上に工程を管理する側の問題がデカいと思う。
ワブガー @Wabger 10日前
動作確認OKだったものが後工程のバグ修正が原因でバグることはある。空欄だったらチェックをすり抜けるロジックになってるのも稀にある。DBの登録件数に応じてバグるのもある。ヒドイ話だけどね
Destroyer Rock @hondapoint 10日前
現場猫は「何を見て『ヨシ!』って言ってたんだろな」でしょ。
Earwax @Earwax97409510 10日前
peerchaky これ境界テストの面倒さの話じゃないですよ。そもそも「パスワードが違った場合に該当メッセージが返される事」というテストをその入力パターンのひとつすらもやらなかったという話なので。入力値がDBに反映される事すらテストしなかったのと同レベル。
SAKURA87@多摩丙丁督 @Sakura87_net 10日前
ここまでひどいのはさすがに見たことがないが、パスワードが8文字以上となっている環境で、最初の8文字が合っていればあとは何でも通るみたいなシステムはちょいちょい見かけたな。
ぼんぼ (カカオ72%) @tm_bonvo 10日前
>ご笑納ください 営業担当も相応に酷えな…
Yeme @yer_meme 10日前
やっぱ出来る限り自動テストするべきっスよ。デグレしても検出出来るっスし、納品後でも比較的楽に再テスト出来るっスし、項目だけ作ってテストしないって誤魔化しも出来ないっス。
無宗教のmakio @makio_0192 10日前
何年ぐらい前の話なんだろうなぁ
デルタ @delta393939 10日前
大手だから信頼できるなんて幻想だというのがよくわかる。
Wisp @wispyr 10日前
Sakura87_net 暗号を生成するcryptという関数がパスワードを8文字までしか受け付けず、それ以上はカットされてしまうやつですね…。
おいちゃん @semispatha 10日前
これ「チェックテスト自体の信用性」の問題にもなるから全部再チェックなんじゃね?
アオイ @aoi_usami 10日前
別会社にお願いしてた開発、テスト終わりました!と言われた成果物を動かしたらバグだらけだったのを思い出した… 納期に間に合わないからって平気で嘘つく会社も多い業界ですからね…
おうまさん @oumasanx 10日前
大手っても実際やってるのは下請だからね。孫請け曾孫請けにもなると素人に毛の生えたような奴にやらせてることもある。
ミーム @meme_jinrou 10日前
時給500円くらいで作らせてそう。
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
検査(テスト)成績書にエビデンス添付してないんかと
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
この人が広島っていうのがすごく気になるw この業界狭いから、広島市内でフリーの技術者はたいていどこかしら同じ現場の経験があったりするからな…
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
[c7764438] 実現可否をろくに確認していない、っていう事例はたしかに多々ありますね
愚者@ エアコミケ1日目南ソ42a @fool_0 10日前
そういや当局も以前業者から「この試験本当はやらなきゃいけないんですけど、時間無いんで省略してもいいですか?」みたいな事を笑顔で言われ、内心こいつ何言ってんだと思いながらちゃんとやって下さいと笑顔で返したのを思い出した。当時は深く考えず反射的にそう答えただけだったけど、このまとめを見て改めてあの時いいですよと頷かなくて本当によかったとしみじみ思う。
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
fool_0 実際、ガラケーの初期の時代にはほとんど見られなかった組込みソフトウェアのバグが、ガラケー末期からスマホ時代になって爆発的に増加した背景は、キャリアからメーカーへの要求がだんだんエスカレートして納期が非常に厳しいものになったり、あるいは価格を抑えられていたりで開発期間を短縮せざるを得ず、試験期間を短縮して内容を簡略化・省略しはじめたから、というのも大きな要因なんですよね。
とげ @g4L2APWCcdefICK 10日前
ご笑納くださいって……
愚者@ エアコミケ1日目南ソ42a @fool_0 10日前
grayengineer こちらの試験はソフトではなくハード的なものだったのですが、それでも当時は若年ながら部署を任されている責任感が多少なりともあったので(ただし部下は居ない)、任されている以上は最後まで面倒見ようという心理から試験を省略させませんでした。幸いにして当局が去った後その部署で事故が起きたとは聞いてないので、ちゃんとやらせておいてよかったなと。
みっどがる @MidgardListener 10日前
スキルのあるプロパーは複数案件のマネジメントをやらされて、その片手間にSESから来た大勢の新卒未経験"エンジニア"をイチからOJTで育成してコーディングさせるも結局ゴミばかり出来上がって誰も帰れないという地獄は見たことがある。派遣会社って怖いよな、4月1日の午後から社会人1年目のエンジニアよこすんだもん
あごにー @Agony_01 10日前
やっていないならやっていないでチェックをつけずに納品するべきだっただろうな。やっていないでチェックつけて納品したら、詐欺だよ。チェックテスト自体の信用性自体に問題性有りになるから、別会社にテスト依頼して金額ぜんぶ開発持ちぐらいになるんじゃないの・・・?
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
g4L2APWCcdefICK たぶんほんとは「ご査収ください」と言いたかったんでしょうね。どこをどう間違えたのか知らないけどw
きゃっつ(Kats)⊿6/10日向坂ツアー広島? @grayengineer 10日前
MidgardListener それエンジニアじゃなくて素人ですよねww
アオイ @aoi_usami 10日前
grayengineer エンジニアは自分がエンジニアだと名乗ればエンジニアなので…w まぁ、4月1日から戦力になる人も実際にいますし、あながち間違いではないです。逆に10年目でも役立たずはいますけど。
しわ(師走くらげ)@寝貯めしたい @shiwasu_hrpy 10日前
大手システム会社は下請けに丸投げしてないで自分で開発しやがれと言いたい今日この頃。中小のほうがまだいい仕事とフォローしてくれるぞ。あと自社社長がシステムバリクソ詳しいマンだとビビって真面目に作ってくれるのは弊社の例でよく分かった。大手に任せたらネットワーク構築すら出来ず時間ばかりかかったため、結局そっち蹴って社長が1週間で基礎組んで、地元中小システム会社にきっちり細かいトコ仕上げてもらった弊社ネットワークェ…
RAIYA@提督 @RAIYASB 10日前
某大手のウイルス対策ソフトのテストで ウイルスチェック機能未完成だけどテストフロー回してっていうのとか、googleChromeの指定バージョンでテストして(尚自動アプデでそのバージョンは手に入らない)とか普通にあったから、大手だからと安心できないのが実情なんだよね(元大手下請け担当OPより)
trycatch777 @trycatch777 10日前
作った人間は「自分が作ったものは正しく動作するだろう」バイアスがかかっているので、テストをスルーするなんて正気の沙汰ではない。自動化されたテストが実施されていれば別だが、どちらにせよそれだけじゃダメだしね。
KPCG10 @KPCG10 9日前
某システムの部品を受け持ち、単体テスト・結合テストの成績が優秀で試験2000件バグ3件修正済みくらいの品質で納品したら「バグ件数が少ない過ぎて品質チェックに通らないからバグ入れて直して」と言われた時は目が点になった。
@funft 9日前
普通はメッセージ全パターン吐かせるテストを自動化しておいてバージョンアップごとにやると思うけど
mikumiku_aloha @mikumiku_aloha 9日前
「この作業やりました」と発注元に報告していながらやっていなかったという話しなので、コンピューターの技術がどうこうではなくただの嘘つき
立月 @tatuki911 9日前
セブンペイの杜撰さもこういうのから生まれたのかね
Chack'n @Chackn 9日前
パスワード初期化依頼が管理者の手を煩わせない優秀なシステムですな?
野獣後輩 @yaju5123 9日前
大手Sierは大きい案件でも対応出来るというだけで、品質を担保する物では無いという奴ね。社内システムの改修・開発程度なら内製してスモールリリースを繰り返すという方向でも良いが、一定以上のデカさの案件は流石にSier通さないと厳しい
野獣後輩 @yaju5123 9日前
tatuki911  アレは多分、セブン&アイ側でセキュリティの専門家によるレビューをやってなかったか、セキュリティ監査すっ飛ばしてリリースしたんで無いかと思う。  セキュリティリスクが高いと判断された案件はベンダーとクライアントの二者間レビューだけでは基本不十分で、脆弱性診断とシステム監査を挟むのが良いとは言われてるが、それやってないならさもありなん
野獣後輩 @yaju5123 9日前
この手のミスは開発会社だけでなく、クライアント側にも大抵どこかヤバい所がある。セキュリティ絡む案件は情シス側に知識と経験のある、もしくは定石知ってる人材が居ないとヤバい。 まあ最大の敵はITリテラシーが欠如してたり、ITへの投資を怠る経営層だったりするのだが
toget9999 @toget9999 9日前
笑納(しょうのう):贈り物をする時、つまらないものですが笑って受け取ってくださいという謙遜を込めて使う言葉
takatakattata @takatakattata1 9日前
納期がえげつないくらい短期だったのかもね
マシン語P @mashingoP 9日前
クライアントからパスワードなしでログインできるシステムを求められたことがあるので、そういうところと組み合わせればWinWin。
みのきち @MihogeP 9日前
takatakattata1 短期のクソ案件だろうがテストを実施していないのはまた違う話だろ
せんたく @senn_taku 9日前
[c7764438] 仕様や設計があるだけまだマシと思ってしまうことも…
あいしー★ @aicm2 9日前
ユーザーチェック&パスワードチェゥクで未存在ユーザーで落ちたんで、ユーザーチェック&&パスワードチェゥクにちゃったとか
RAIYA@提督 @RAIYASB 9日前
MihogeP 短納期で真っ先に削られる工程ってテスト工程なんだぜ… まず構築自体がぎりぎりって事も多いし、仕様自体が未確定(なのに開発フェーズはすすめる)っていうのは良く有る話
SAKURA87@多摩丙丁督 @Sakura87_net 9日前
wispyr なるほど、そういうことだったのですね。
三十郎 @sanjuro2 9日前
大文字小文字チェックして無いわ、ログオンユーザは全部adminになるわ、平文でPW保存するわ...orz
Feel @feel1024 9日前
大手は下請けに丸投げせず自分で開発しろっていうけど、まともに開発経験無い面子ぞろいの大手プロパーにやらせるより下請けに丸投げした方がよっぽどマシなものが出来ることの方が多いんやで…(遠い目)
kacchi8345 @kacchi8345 9日前
関連まとめに7payのまとめがないのが遺憾。
酒乱⑨ @shuram_Q 9日前
通ってた大学のシステムは先頭がパスワードと一致する文字列なら何入れてもログインできた。任意コード実行とか成功したら捕まりかねないから見なかったことにした
ITDOREIKUN @ItDoreikun 9日前
作り込んでたら納期に間に合わないので仕方がない
いちり @ichirish 9日前
RAIYASB 納期がアホで苦しいみたいなのは他の業界でもあるからわかるけどさ。でも短納期なのが嘘ついていい理由にはならないよ。契約した時にテストやることになってたんだったら、どうしても時間なくてそれを削ったってならちゃんと客に言わなきゃダメでしょ。やってないことをやったことにしたら詐欺だよ。
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 9日前
最大の敵は経営層だな。金を積めば外れを引く確立は減るし尻拭いもしてくれるはず。が先立つものが
ゴミ箱 @tlash_can 9日前
「ご笑納ください」は草
鹿 @a_hind 9日前
証跡なんにもとってなかったんだろうねえ。期間もおそらくカツカツで現場ぐだってたに違いない
鹿 @a_hind 9日前
feel1024 大手なんて管理業務()とやらで子孫のウワマエはねてるだけの簡単なお仕事で実務解る人どれだけいるのって話ですよねえ。そんな連中にやらせたらそれこそこのシステムみたいなのがでてきますわ。
鹿 @a_hind 9日前
だからといって中小なら信用できるかっていうとまたそういうわけでもなく。人員少ない中で案件掛け持ちしまくっててやっぱりテストテキトーにすませてることもあるわけで。 ゴミ納品されて怒りの電話かけたら開発主任と部長がやってきて責任なすり合い始めたときはコントかなと思いましたね。
funpan @funpan2015 9日前
feel1024 「自分で開発しろ」って、今いる開発経験のない面子に開発させろって意味じゃなくて、その丸投げする下請けにいるような人員をきちんと自社の社員としてかかえておけって意味のような
ヒロセジロウ ✏️ @denjiro13 9日前
納品物を「ほんのつまらないものですが」てw
長 高弘 (獣脚類ティラノサウルス科ズケンティラヌス) @ChouIsamu 9日前
DBのユーザ情報のテーブルに、そもそもパスワードの項目が無かったりしてな……
RAIYA@提督 @RAIYASB 9日前
ichirish あ、そっちの意味ね、それは完全に開発側が悪い テスト工数が足りないとテストしないとテスト偽装は全部別個問題だし
カントク @uokada 9日前
こういう低レベルなミス防いでくれて一通りの機能提供してくれるFrameworkって必要だよね。
わんだらぁ @StellaInerrans 9日前
セッション管理してなくて、外部からAPI叩いたらパスワード書き換え放題な認識システムの仕様書を渡された事がある。自分がそれを指摘したら、プロジェクトが頓挫した。
ユーコン @yukon_px200 9日前
マイナポータルもこの仕様にすれば自治体の窓口が混み合うことも無かったろうなwww
Heyw65kZ4RiU @29zgJQepexzZ 9日前
開発に規模にもよるけど、この手の技術文書って手順書数千ページ、要領書報告書数百ページとかザラだからな。ハンコ付く人はそういうのを1日何件も処理せなあかんとなると、大抵は右から左か、良くてチェックリストに○付いてるの流し読みするだけになるよ
ラーマ ソフトン @rama_softon 9日前
テストしないで全項目OKにして納品した?エビデンスは?
横えび@可児配信会0614 @yokoebi 9日前
😅☺️😆投げやり & てきとうー‼️‼️
Daregada @daichi14657 9日前
この間見たのが、「パスワードは英大文字小文字、数字、記号を組み合わせてください」という要求なのに、「以下の記号は使えません。[]{}#%^*=_\|~<>$……」と大量の記号が「使えないもの」として指定されていた、というやつ。こちらでキーボードに印字された記号から除外していくと、使える記号は「.,」など数文字だけだった。最初から「使える記号」を提示しとけばいいのに。
cocoon @cocoonP 9日前
このベンダはひどすぎはしますけど、「検収」という工程が必要なのはこういうことを防ぐためですから、常に「こういうことはあるかもしれない」とユーザ側もちゃんとチェック体制を敷かないといけないって話ですよね。
cocoon @cocoonP 9日前
あんまり関係ないようでちょっと関係ある話をすると、要件定義をベンダ側に丸投げしてしまうユーザ(正直大半のユーザはそうです)はこの問題に多かれ少なかれ直面してると思いますよ。そしてそれはある意味自業自得だと思います。
かびぱん @kavipann 9日前
毎回こういうのって、コメントがシステム系の蘊蓄と体験談の垂れ流しになるよね。
さらら @sarara0328 9日前
feel1024 大手のプロパー社員1に対して、下請けベンダーの常駐社員が2とか3とかありますしね。
ざの人(棘用垢) @zairo2016 8日前
PAYPAYのソフト納品はこんな感じやったんだろうな、セブンイレブンはその調子でやられて、その商品がセキュリティホールで、サービス事態がなくなってしまったんだからなー。だからといってPAYPAYと合体して、現金チャージをセブンだけに改悪し、あまつさえ、ちょっと古めのIOS10では(iPhone6までは切り捨て)使用できなくなる改悪をPAYPAYはしたので、残金15円しか残っていない今のタイミングでは、もう使わない。
gx9900 @GX9900GUMDAMX 8日前
feel1024 とはいえ、ちゃんと出来上がったかチェックするのは大手の仕事だろう。そこまで投げてしまうのはいただけない。
さらら @sarara0328 6日前
aoi_usami 納品されたソースコンパイルして動かしたらABENDしたことなら…
hara471 @hara471 5日前
こういう仕事って報酬も大したことないからこんなことになるんだろうなって思うわ
tinu @t_neko3 4日前
funpan2015 日本の会社の構造だと鉛筆舐めて稟議書書くだけの連中ばかりが高給取りになっていって、優秀な技術者畑の人間はやってられんと逃げ出す説も(さして優秀でないなら、たとえ出世できなくても大手にいるほうが圧倒的にいいけど)
S.O. @so_rei 3日前
エンジニアです。下請けとして大手企業への派遣にいったことあるっすけど、基本彼らは自らだけでは何も作れない集団っす。(せいぜいDBとかソースコードの一部が読めるぐらい) 基本設計から何から何まで別の(複数の)下請けに任せてるので、スパゲティコードと無駄な資料の山の整理と下請け間の折衝が彼らの仕事になってるっす。全容を把握してるのは派遣側のリーダーだけなので、その開発が当然終わると誰もわからなくなり、改修のたびに車輪を再発明するコストがかかるっす。
豆腐の角 @ayutimali 3日前
その昔、MS SQLServer7.0の時代、まだアクセスをフロントエンドに使うことが微妙だった頃にVBでサーバのsaアカウント情報ベタ書きのアプリ寄越した大手あったな。
豆腐の角 @ayutimali 3日前
yaju5123 マイナポータルのぴたっとサービスを定額給付金の申請に使ったら大部分の自治体でコケたのはその最大の敵を倒せなんだ結果っす
aqp1 @aqp114 1日前
KPCG10 それは優秀でない。テストの目的は問題を見つけること。極端に少ないのはテスト失敗。テスト前に非公式で開発者が動作テストしてたでしょ?
ログインして広告を非表示にする
ログインして広告を非表示にする