水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2011年のえび日記 > 2011年2月 > 2011年2月14日(月曜日)

2011年2月14日(月曜日)

徳丸さんのセキュリティ本 レビューの感想など

公開: 2011年2月22日22時40分頃

「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です (d.hatena.ne.jp)」。

このように、レビュアーの皆様には、字句の間違い指摘というレベルを超えて、非常に本質的な「この脆弱性のなりたちは何か」という議論に及ぶこともあり、私自身非常に勉強になりました。

と、徳丸さんも書かれているように、誤字脱字の指摘が中心かと思いきや、そうでもありませんでした。「この脆弱性の本質は何か」とか「この保険的対策は実施した方が良いのか」といった、かなり奥深い部分から考え直す機会が何度もあり、面白かったです。しかも調子に乗って「追加でこれを書いてほしい」というリクエストまで出してしまい……。どう考えてもレビューの枠を超えていますが、それでも快く対応していただきました。本当にありがとうございます。

他に面白いと思ったのは、なぜか役割分担ができているように感じたことでしょうか。たとえばPHPを中心に見られている方、VMを中心に見られている方など、自然に担当が分かれるような感じになっていて、そのおかげで、私はPHPやVMには完全ノータッチで済みました。レビュアー間の役割分担などは全く話し合われていなかったのに、自然に分担ができていたのが面白かったですね。これは徳丸さんの人選が良かったのかもしれません。

悩ましいと思ったのは、ある概念に名前をつけて説明しないと分かりにくいという状況がしばしばあったことでしょうか。徳丸さんは同一生成元ポリシーの話をされていますが、他にも、CSRFにおいて「副作用」という用語の説明をするべきかどうかなど、悩みどころはたくさんありました。脆弱性って難しいですね。

……という「脆弱性」という語にについても、冒頭で読みが提示されているので、「きじゃくせい」と読んでしまったりしないで済む設計です。分かりにくい説明や難しい表現は複数のレビュアーによってかなりチェックされていると思いますので、かなり分かりやすいものになっているのではないでしょうか。

と言いつつ、私も最終形は見ていないので期待しております。

関連する話題: / セキュリティ / 徳丸本

最近の日記

関わった本など