ラッピングは気をつけないと…
大本のネタとしては
オズ・インターナショナル、不正アクセスでカード情報大量流出の恐れ
http://internet.watch.impress.co.jp/cda/news/2008/05/22/19656.html
オズ・インターナショナルは20日、同社が運営するショッピングサイトがSQLインジェクション攻撃を受け、顧客のクレジットカード番号を含む個人情報が流出したことを明らかにした。流出件数は最大で約2万件に上る可能性がある。
まぁもはや失笑レベルでしか有り得ないお話なのですが。
まずそも
オズ・インターナショナルの大関和樹代表取締役社長は、今回の情報漏洩がすべて自身の監督責任であるとコメント。再発を防ぐために「侵入防止システムや脆弱性検知システムなど、米国最高の強固なハードウェアやソフトウェアを採用した」として、サイトの改善に全力を尽くすと説明した。
うんその前に技術者連中の再教育とか必要なことあるでしょ? と思うのは私だけでしょうか?
エスケープ処理するって、しつけレベルの問題だとおいらは思うですよ正直。
んで、さらに気になったのがこの部分。
また、改善の一環として、サイトの脆弱性を検査し、安全性を証明するサービス「HACKER SAFE」を導入。しかし、一部のサイトでは、オズ・インターナショナルの情報流出を伝えるにあたり、「HACKER SAFE証明済みのサイトでカード番号漏洩発生」などと紹介されたことから、「HACKER SAFE開発元のマカフィーと、その販売代理店が誤解を受けてしまった。現在は一時的にHACKER SAFEを取り下げられてしまっている状況」(大関社長)という。
ほほぉ。
そりは
http://www.mcafee.com/japan/about/prelease/pr_07b.asp?pr=07/11/01-1
マカフィー、HACKER SAFE®を提供するScanAlert, Inc.を買収
〜HACKER SAFE とSiteAdvisor を統合し、Eコマースに向けたセキュリティを強化〜
にある「HACKER SAFE」でしょうか。
当買収により、マカフィーのWeb セキュリティにおけるリーダーの地位がよりいっそう強固なものとなり、米国内のオンラインショッピング利用者1億1,600 万人以上を安全な電子商取引サイトに誘導できるようになります。
とかあるのはいいんですがね。
ただね。気になるのがこっち。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20373146,00.htm?ref=rss
このブログでも以前扱ったとおり、誇らしげにHacker Safeのロゴを掲載しているサイトの多くが、クロスサイトスクリプティングの脆弱性を抱えるなどしているのが現状だ。
ブランドを変えてみても、SQLインジェクションやXSSを調べる方法しか知らないツールのにおいがするからだ。ところで、McAfeeはクロスサイトスクリプティング脆弱性を持つサイトから、証明マークを外すことさえしなかった。
Dan Goodinの素晴らしい記事を扱った私の前回の記事には、McAfeeの広報担当者の無責任な発言に対して考察している部分がある。
McAfeeの広報担当者は、同社はXSS脆弱性をSQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSSの脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。「McAfeeがXSS を特定した場合には、顧客に対しこれを通知し、XSS脆弱性について啓蒙している。」(McAfee広報担当者)
ねぇねぇねぇ「本当に安心していいの?」
なんていうか…完璧ってのは大抵「何も足す余地がない、ではなく、何も引く余地がない状態」をいうんだと思うです。
しかるに皆様。考えているのは「よくわからないから上に一枚ラッピングして以下略」って発想。
それでうまくいくかどうか。ちょっと冷静に考えればティーンエイジャーでもわかろうってモンだろうに、とか思うんですがどんなもんでしょ?
システム開発に。最低限の真っ当な教育とかなんとかしてりゃ片付く話だと思うんですがねぇ。セキュリティってか、プログラムのお作法とかしつけとかそういうレベルの、本当に最低限の。
まぁ…正直、行く現場のn割ほどが(nがいくつなのかは内緒w)「駄目じゃんここ」としか思えないスキルレベルなので & 教えようとしても学ぶ姿勢&環境がまるっきりなかったりするので(またそれで「新人君」とかで有望な子がいて、そういう子だけが学ぶ気満々で、周りがそれを嫌悪するような目でみて、その子が腐りかけてる構図ってのが切なくて orz )。
多分…開発そのものとか、そゆレベルで改善しないとまともにならんのだろうなぁとか思うわけなのですが。
大体、現場で無駄に居座ってる、年齢とか地位とかが下手に高い連中ほど保身に走るもんだから、目も当てられない状況になっている事多々。
…いかん夜中に書いてるから、妙に悲観的になってる orz
血液型[性格診断|占い]が嫌いな理由
たまにはこっち側のツラもw
まぁ先日たまたま話題になったってのもあって書いてみようかなぁと。
とりあえず「否定するに至る理由」については、おいらの神秘学方面のpage http://www.m-fr.net/galluda/t3.html をご覧くださいませ。
平たく言って「当たると言い張れる理由がどこにあるんだか見当も付きません」レベルです。
んで。「やめろ」という理由なのですが。
結局のところ「決めつける」「反論の余地がない」あたりが、一番まずいんじゃないかなぁと。
そも。占い師ですら「占いは当たります」とはよぉ言いません。私もいいません。なのに、血液型がお好きな人は大抵「血液型は当たるんです!」とおっしゃいます。
占いは当てモノではありません(っつか少なくとも自分はそのスタンスでプロとしてやってます)。射覆じゃぁあるまいし。
大体、例えば生まれ持った「星占い(正しくは西洋占星術)」にしたところで。生年月日時分から導き出される「12の室と10の惑星とその角度」から導き出される結構なデータ量を用いてなお「でもこれってせいぜい個人の資質の半分程度だし。その後の育ちでどうとでも変わるよねぇ」程度でしかないわけです。私はよく「人格の土台とか基礎。その上にどんな建物建てるかはあんたの意志次第」とか言います。
それを、たかだか4分類で「あなたはこうだから」とか「あの人とは血液型がそれじゃ付き合っても別れるだけだよ」とか、そういった「相手の人生のレールに石を置くがごとき発言が出来る」あたりがなんていうか…生兵法きわまれり、です。
気軽な話題の一つとして、程度の扱いであればいいんですがね。多くの場合、いつのまにか結構なところまで踏み込む事が多いので。且つ難儀なことに「血液型でこうだから、って言われたから信じちゃう」人とか、そこまで行かないにしても「気にする」人ってのは、存外に多いものなので。
血液型がお好きな方。やめろとまでは言いませんが、ご自身が発言された内容の重みをもう少し意識されてもよろしいのではないかなぁ、と思うんですが、どんなもんなんですかね?
…そんな話をうちの弟子とばるみやんでしておりましたw
テストの問題、ですらなさそうな… orz
元ネタは
http://blogs.wankuma.com/shuujin/archive/2008/05/18/138193.aspx
http://blogs.wankuma.com/naka/archive/2008/05/18/138160.aspx
http://d.hatena.ne.jp/ripjyr/20080517/1210957963
一番大本からまず一文。
通常時には問題無く処理が行われるものの、同時に多数のアクセスが行われた場合に、データの処理に関するプログラムミスが誤表示を発生させたことによります。
うんここだけで何が起きてるか一撃で想像つこうってモンだねぇと(もちろん「想像を絶する理由である可能性」も否定はできませんが)。
確かに。皆さんがおっしゃってるとおり「テストではじけないのがまずい」に関しては全面的にtrueだと思うのですが。
ただ。
それ以前の問題として「技術者のスキル低すぎない?」って思うのはおいらだけですかしらん?
変数のスコープ周りとかが「誰も理解できてない」のは論外だし。現場でそこらへんを下の子が理解できてなきゃとりあえず教育するものじゃないんですかねぇ?
まぁ。いくつかの愚かな現場が、教育に関してマイナスイメージを持っているを実際に見てきてはおりますが。
「教育すれば食い止められた愚かなミス」が生み出す被害金額をどこまで冷静に見積もっているのかについては、どこまでも疑問です。
っつか…なんかレベルが限りなく劣化してる可能性をかいま見てしまって、割と本気で心配です orz
学び方を知らない人っていっぱい居るなぁ orz
ちとあちらこちらから偶然拝見したので。
http://bbs.wankuma.com/index.cgi?mode=al2&namber=18570
こちらが元ネタ。
んとね…
ソースコードで例を示していただくわけにはいかないでしょうか?
阿呆かい。
その後の議論も、なんて言うか涙なくして語れないレベル。
手前味噌ですがね。
http://d.hatena.ne.jp/gallu/20080226/p1
を是非呼んでもらいたい。
で。
「質問の仕方」ってのを一度しっかりと内省してもらいたいもんだなぁとか思うわけですよ。ええ。
CTOへの一考
まぁ別にCTOに限らないのですが、いわゆる「仕切る人」というモノに関して。
近々を含め、色々とミスってる事象を見たので、memo程度にいくつか。
まず。いわゆる「頭を張ってる人」の鉄則として。「動いちゃいけません」。原則としては「実務作業なんてもってのほかです」。
よくあるケースなのですが。CTOさんが実務をやっちゃってるために「CTOという立場でなければ出来ない色々」が着手出来ず、結果として組織全体に問題が発生するケース。
技術者上がりのCTOさんがよくやらかしてしまうミスです。
で「CTOとしてこの作業を…」という話に対して「実務が追いついてないからちょっと待ってて」と。それは何か間違えてませんか?
ここでチョイスする基本はふたつ。
いち。すっぱり実務はあきらめる。
に。すっぱりCTOになる事をあきらめる(拒否する)。
実務をあきらめるチョイスの時によく耳にするのが「でもほかに出来る人がいない」。それは、あなたの人材採用、人材教育の手落ち。
CTOになるのを拒否するは…しがらみ的に難しいことも多々(苦笑
で、ここに次点が実は。
「とりあえず自分がCTOになりつつ、問題なく実務が出来るようなスケジューリングを自分で恣意的に組む」。うん割と積極的にいけますw
コツは「自分がある程度苦手な部分をフォローしてくれる右手左手を用意しておく」事。いわゆる「権限の委譲」です。これによって、自分の職務がずいぶんと軽くなります。
どうしても上に立つと、俯瞰的視野が必要で。権限を持つと、「その権限でなければ出来ない事」が出てくるので。
如何にして「その中から自分が嫌いな作業を他人任せにするか」ってのがまぁぶっちゃけ大切になるわけですw
とかいうちょいと物騒な暴論を、メモり。
「理由の如何に因らず」という便利な言葉
「理由の如何に因らず」という便利な言葉があります。類似品として「何が問題なのかはわからないが」「問題点は重々承知しているが」「当方にも問題はあったことはわかっているが」など。
文例をいくつか出してみましょう。
「理由の如何に因らず。人を殺傷することはよくない事だ」
「問題点は重々承知しているが、納品日はきちんと守ってもらわないと困る」
「当方にも問題はあったことはわかっているが、きちんと会話もしてくれないというのは社会人としておかしい」
いずれも正論です。
言い換えましょう。
いずれも一見正論に見える暴論です。
技術者的に一番わかりやすい真ん中を例題に取ってみましょう。
「問題点は重々承知しているが、納品日はきちんと守ってもらわないと困る」
「問題点」にはどれくらいの幅があるのでしょうか? そうして、それは「その問題点があっても納期は守れ」という発言を正当化できる程度のものなのでしょうか?
例えば。「3ヶ月納品で受注した。本来なら前半1ヶ月で仕様確定、後半2ヶ月でメイクの予定だったが、根幹仕様が二転三転し、仕様が曲がりなりにも確定したのは納品前日だった」とします。まぁ極端な例ですが。
この状況を踏まえて文章を作り替えてみましょう。
「仕様確定が納品日前日だったのは重々承知しているが、納品日はきちんと守ってもらわないと困る」
さて。これはYesといえるお話でしょうか? 正論といえる内容でしょうか?
ほかの文章にも。少し極端な、でもあり得る内容で文章を少し変えてみましょう。
「私は君を殺すつもりだが。君が僕を殺傷することはよくない事だ」
「当方はあなたに対して挨拶もしていないしする気もないし、ただ上から押しつけるようにしか物事は言わないし君の事を考慮する気は全くないが、きちんと会話もしてくれないというのは社会人としておかしい」
どれ、とはいいませんが。3つの文章のうち2つは、実体験に基づいています orz
おいといて。
どんな状況であれ。理由というのは「如何に因らず」などと切り捨ててよいものではありえません。「わかったつもりで理解していない」事もざらである事を考えると、安易に「わかっている」と発言するのも如何なモノかと思います。
類似品に「過去からの経緯」というのもあるのですが。
そういったものを軽視し、或いは切り捨てるということは。それを端的に書くと「自分は何事かやらかしたしでもそれに対するフォローをするつもりは一切ないが、君は私の要求通りに動いてくれ」という、大変にアンフェアな精神に満ちあふれた文章になります。
「理由の如何に因らず」という言葉は、大抵の場合、立ち位置として「上」の人間がよく使います。
そうしてそれは概ね「自分たちのやらかした事を無かった事にして一方的に下に対して要求を伝え、通す」ために用いられます。
「理由の如何に因らず」という言葉は一見正論に見えるために。その背後に、例えどれだけ理不尽な事象があろうとも、その全てを糊塗できます。
「何が問題なのかはわからないが」という場合理解しようとする気すらなく。
「問題点は重々承知しているが」「当方にも問題はあったことはわかっているが」という発言主が「本当にわかっている」可能性は皆無です。
なにせ。これらは全て「問題点に対する無考察への呪文」ですから。
便利な言葉です。
取引において。自分は何の支払いもせずに、受け取りだけは正当に要求出来るわけですから。
あなたが上司になりたいなら。是非とも覚えておくとよい文節です。
言い換えましょう。
あなたが自分が例えやらかしたとしてもアンフェアに部下とその成果物を搾取するような、あるいは部下を使い潰して使い捨てるような上司になりたいなら。是非とも覚えておくとよい文節です。
尤も。その時点で、人としての品とかってものが真っ逆さまに落ちますが。
………嘘つきw
栄えある禁書第二弾はこちらw
部下は育てるな! 取り替えろ! ! Try Not to Develop Your Staff (光文社ペーパーバックス)
- 作者: 長野慶太
- 出版社/メーカー: 光文社
- 発売日: 2007/09/22
- メディア: 単行本(ソフトカバー)
- 購入: 2人 クリック: 41回
- この商品を含むブログ (29件) を見る
尤も。その対象のほとんどは「部下」ではなく「上司たるあなたに対して」申し述べられているのだが。
より正確には「上司が育ち環境を作る事で、「部下を“育てる”」のではなく「部下が“育つ”」環境を作れ」というのが、自分が読み取ったこの書籍の根幹。
したがって。「まともに正面から向き合って読む」分には普通に良書。細かい手法の賛否はともかくとして、ベースラインはごくごく真っ当。
ただし、おそらく何割かは「人材を使い捨てる自分への言い訳としてかいつまんで読んで免罪符にするだろう」というあたりが非情に危険なのでそのあたりを考えると禁書。
もっとも。
この書籍が禁書たる最大の所以は、この発言につきるだろう。
正論を吐け。
いつかそこにいられなくなるともだ
覚悟なしには飲み込めない言葉ですな。
もっとも。何の覚悟も出来ずに自己防衛に走る上司だの経営者だのに、みじんも興味など持てぬものではありますが。
