記事個別表示 (3098)
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
[3098] Re: 「サニタイズ言うな?」
りゅう (2005年7月20日 23時56分)
>これにはちょっと違和感があります。
>バグだバグだと言えといっているわけではなく「本来やるべき処理が何かを」「サニタイズ」と言わずに伝えろと言っているのだと捉えられますから。しかもこの文脈において脆弱性をさておく必要は無いわけですし…。
要はその役割をセキュリティ屋に望むのは筋が違うんじゃないかということです。
望むのなら開発者にセキュリティ的な問題把握能力を望むべきでしょう。開発者にそれができなかったからセキュリティ屋というのが居るわけで、さらにプログラミングの知識まで頼ってしまったら、開発者としての立つ瀬がなくなってしまうではありませんか。そもそもバグなのですから、それを修正するためにセキュリティ的な知識は要らないのです。
>これは穿ちすぎを承知で言うのですが、高木さんの「不満」はIPAに向けられているような気のせいがとてもしています。IPAに「サニタイズって言うな」と。IPAの立場は開発者というよりはセキュリティの専門家でしょうか。
写真のスライドに書いてある文句を読むと対象は開発者という感じがします。
>>誰がプログラマにきちんと伝えていくのか明示されていないので謎なのですが、
>
>そうそうそう、私もそこが気になっているのですよ。誰が伝えていくのか。
>ちょっと冒険っぽいですが、「伝えていく」というのを「技術を伝承する」というような意味で解釈できないでしょうか。
>「ここに集ったみなさんも伝承者となったのですからみなさん伝道よろしく」みたいな。
その解釈だと「特に新規にシステムを開発するような局面において」という前置きが無意味になってしまうので駄目っぽい感じがします。伝承は新規開発の時でなくてもできますし。
これは「水無月ばけらのえび日記 : サニタイズ言うな?」に関連するコメントです。
全読: [3045]Re: 「サニタイズ言うな?」からのスレッド(44件)]