http://takagi-hiromitsu.jp/diary/20060307.html#p01
個人的にはかなり興味深い内容
日本ブログ協会の件もそうだが
脆弱性を抱えるWebをなぜ平然と作るのかという点には
"発注側の検査能力が皆無なため"である(きっぱり)


ちなみに今日現在の私の職業は広告代理店の正社員である
この会社が世の広告代理店の中でどれほどの情報技術を持っているかというのは
測りようもないのだが
少なくともこの会社において
WebデザイナとSEの違いが理解できていない点で脆弱性量産の土壌はすでにあると言える
コンピュータに強い人、から先の理解が皆無なのである


私の前任、もしくは前々任あたりが作ったと思われるDB連動のWebページがあった
これを去年の秋ごろに依頼があり改修をかけたのだが
平然とhidden属性でDBアクセスのパスワードを保持している状態だった
HTML触れる人程度でパスワードは見れてしまう
改修にかける時間を延ばす交渉の段階でこのことを話すと
「？？？」「パスワードが見れるはずないだろう」程度である
尚、これについてはソースを一新させて対応済み
そして報告を上げてもデザインが変わってないから何が変わったのかわかっていない
これで「FWがあるからセキュリティは万全だ」と豪語する姿は滑稽である*1


またWebアプリの寿命を定める件については全く以って意味をなさない可能性が高い
なぜなら破棄を提言したところで、もったいない精神が働くからである
それこそ一時しのぎで作り、いずれ本格的な物を作るとして作った急造物が
10年に渡り使われる可能性だってあるのだ
その寿命の決定権は他でもない、発注者
「株価が落ちたからまた来年」と言われてしまったら動かし続けるしかなくなるのである


これに対して作る側ができる対応策は
製作に入る前にアプリの保守期限を設定するになってしまうかと思う
製作側で寿命寿命と叫んでも、「まだ動いているじゃないか」で押し切られる
往々にして発注者は事が起こってから「なんとかしろ」と言う*2
重要なのは先に言うという点
それもいつ誰が誰にどう言ったのか、可能な限り形に残るようにしてそれを記録するという条件付き
素の忘却と都合の良い忘却を記録を以って回避するのである
ここまで書いておいてさらに中断・・・


いかれたサーバーにちょっとした発見
内部のデータが各種ログで埋まって止まることが判明
(groupファイル破損によりlogrotateも動かなくなったから)
ログの進み方にもよるがサーバーの鉄屑化は時間の問題となりました
暇があったら命日試算してみよ