« プロマネの教科書は「扱える領域」だけをカバーしていると捉えよ:日経ITproの記事より | トップページ | データ通信専用の電話番号 »

2016年2月 1日 (月)

さすがにSQLインジェクション対策は要件に入っていなくても必須だろう

 記者の眼 - ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇:ITproを読んで、いつもは開発会社の方に同情する私が、今回に限っては、開発会社の実力不足にあぜんとした。ある開発会社が開発委託を請け負ったWebサイトが、SQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまい、訴えられたというのである。
 開発会社は、要件にセキュリティ対策が含まれていなかったので、開発会社の責任ではないと抗弁したようだ。いくらなんでも、いまどきのWebシステム開発で、SQLインジェクション対策をしていない会社があるなんて信じられない。いまどきの教科書には、SQLインジェクション対策は必ず記載されているはずであり、常識だろう。組み込み技術屋の私ですら知っているし、前に書いた放送大学の講座でも紹介していた。
 こんな当たり前のことを、要件に入っていなかったから実装しませんでしたと抗弁するというのは、「当社は素人集団です」と宣伝しているようなものである。

« プロマネの教科書は「扱える領域」だけをカバーしていると捉えよ:日経ITproの記事より | トップページ | データ通信専用の電話番号 »

パソコン・インターネット」カテゴリの記事

開発業務」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/568535/63152554

この記事へのトラックバック一覧です: さすがにSQLインジェクション対策は要件に入っていなくても必須だろう:

« プロマネの教科書は「扱える領域」だけをカバーしていると捉えよ:日経ITproの記事より | トップページ | データ通信専用の電話番号 »

2017年8月
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

公告

  • Google Adsense
無料ブログはココログ