Shibuya.pmでのIPA特別企画対談中のTL
欠陥(=基準を満たしていない)建築物の場合も、余裕で1000日以上放置されてるような気がするんですが... #shibuyapm
2010-09-30 20:10:38受託は、開発元が負うべき責任だよね。車買って走らせたらエンジンから煙出たら自動車メーカーが 100% 負う責任な気がするし #shibuyapm
2010-09-30 20:11:01IPA「脆弱性があります」サイト主「放置します」IPA「リストに載せて公表します」サイト主「晒されたので閉鎖する。クソが!修正するカネないんだよ」何も知らないユーザー「なに晒して潰してんだよ!IPA」……というパターンが目に浮かばなくもない。 #shibuyapm
2010-09-30 20:12:16#shibuyapm ドメイン名の有効期限ばりにカウントダウンすれば、公開しても良いんじゃないかなぁ。そこのユーザーが危険に晒されてる状況はには違いないんだし。
2010-09-30 20:12:55「どうせ個人情報が漏洩しても500円払えば謝罪したことになるから、それ以上のコストを掛けないよ」というパターンもありそげ http://live.streamingmedia.jp/shibuyapm/ #shibuyapm
2010-09-30 20:13:44ところで、IPA的には脆弱性の多い言語とかの統計はあるんですか? あるとして、Perl はどれくらいなんですか ? #shibuyapm
2010-09-30 20:14:51脆弱性を報告したのに対策が放置されているサイトがあるとして、実はIP制限などの接続制限でとりあえずの対策が済むようなサービスだったり、実は誰も使ってないサイトだったりする可能性は相当ある気がする。 #shibuyapm
2010-09-30 20:15:24脆弱性というよりは、正しい開発手法を学ばずに、見よう見まね、動けばOK的な開発をする人がいるから問題ってわけですよね。セキュアなフレームワークが登場したとしても、ありえない使い方をする人は現れそう。 #shibuyapm
2010-09-30 20:17:45エスケープをする箇所 (HTML) を書いてる人が会社のゆるさに飽きて同業他社に転職して、後任がノウハウを引き継いでいないケースもあるんじゃないだろうか #shibuyapm
2010-09-30 20:18:29窓口やってるディレクターとか、PGP わからないから素で修正完了報告書を送り返しちゃったりするので、「素で送り返さないでね!」とか念を押したりする社内調整も面倒 #shibuyapm
2010-09-30 20:20:48IPAに届け出て、修正されたからといって気軽にブログに書いたりすると、まわりまわって知人がお客さんに頭さげに行くハメになって、申し訳なくなったりすることがある。 #shibuyapm
2010-09-30 20:22:07