がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

…絶句

セキュリティ 親方

http://neta.ywcafe.net/000828.html
経由
http://anond.hatelabo.jp/20080130215148
とか
http://d.hatena.ne.jp/Hamachiya2/20080131/security
とか。
ついでに
http://b.hatena.ne.jp/entry/http://anond.hatelabo.jp/20080130215148


なんていうか…個人的には「暴論もいいところ」にしか見えないのですが。
とりあえずまじめに突っ込み。
ちと引用が前後します。

セキュリティとか気にするな。そんなもん気にして途中であきらめるよりお前が実際に何か作る事の方が大事だ。

closeな環境とか、せめても「趣味環境」でならYes。ただ、サイトTopに「セキュリティとか気にせず作ってます」という明記は必須。

もし万が一脆弱性突かれて問題になったら、そんときゃ謝れ。プロが作ったもんだって攻撃される時はされるんだから。反省して、そこで初めてセキュリティの勉強しろ。痛い目見たらイヤでも身に付くから。

ポイントは。「脆弱性突かれて」ではなくて「脆弱性突かれて"問題になったら"」。もうちょっと正確に書くと「脆弱性突かれてそれが認識できてその上で問題になったら」。いつもいつもいう話なのですが。まず「脆弱性を突かれたかどうか認識できる」までが高い1ハードル。
例えば自分のところの会員のメールデータが流出したとして。あなたは「どうやって」それを認識しますか?

怖がって最初からやらないより、なにかやらかして学ぶ方が100倍いいに決まってる。

これは、ある程度の前提を踏まえたうえでYes。ただ同じくらい「常に恐怖心を持つこと」も大切。

肝心の初心者に声が届いてなくて、わかってるもん同士で「うむうむ、セキュリティは大事ですなぁ」って仲間ごっこしてるだけじゃねーか。阿呆か。そんなに大事なら分かりやすく説明してみろっての。

なんていうか…学ぶものとしての姿勢が皆無。
というか「学ぶ気がない」としか思えない。或いは「学び方に無知」なのか。守破離とか知ってますか?
最近よんだ書籍にもあったけど。忍耐とか我慢とか研鑽とか、そういった単語からどんどん縁遠い人種になっているように見えて、なんていうか…未来予想図が惨い。どこの業種のどんな世界にいっても、プロであるためには一定の苦労とか一定の忍耐とかが必要です。
うん最近時々耳にしますよね「練習とかトレーニングとか嫌いなプロスポーツ選手」。好き嫌いはともかく。彼らが「本当に何もやってない」と思いますか? 大抵、裏では並々ならぬ努力をされていると思いますが?
あまりこの単語好きではないのですが。「ほんの少し何か言われただけで萎縮して」「"分かりやすく説明してみろっての"と教えを請うべき相手に対して噛み付く」というのが、いわゆる「ゆとり」とかいうやつなのでしょうか?*1
いや別に「教える側だから居丈高になっていい」とは思いませんが。そうはいっても、ちょっと「教えを請う側としての姿勢としていかがなものか」的雰囲気が、文章だけからだと感じ取れてしまいます。


もちろん。この記事を書いている人は

趣味でやってるプログラミング初心者の立場

なので。趣味でやっている限りは、ある程度Yesだと思う(とはいえ、セキュリティ考慮していないこととか趣味でやってるとか初心者とか、そのあたりはサイトのTopのわかりやすいところに書いておきましょう)。
ただ。どう見ても、これを読んで賛同している全員が「業務と趣味とをきちんと切り分けられている」ようには、申し訳ないのだが、到底見えない。
つまり。…まぁ別所でも良く見るロジックですが。

  • 「趣味でやってるプログラミング初心者の立場なら、"初心者はPHPで脆弱なウェブアプリをどんどん量産すべし"も一定条件の下にある程度true」なのが、
  • 「趣味でやってるプログラミング初心者の立場なら、"初心者はPHPで脆弱なウェブアプリをどんどん量産すべし"もtrue」になり
  • 「プログラミング初心者の立場なら、"初心者はPHPで脆弱なウェブアプリをどんどん量産すべし"もtrue」になり
  • 「"PHPで脆弱なウェブアプリをどんどん量産すべし"もtrue」になるです。


例えば。
http://d.hatena.ne.jp/Hamachiya2/20080131/security

そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。

なにをもって「大切とするか」は個人によって異なるし。

うさんくさいサイトだったら、住所も本名も預けたりしないよ。

「うさんくさいサイト」という基準も見えない。

そして、少しでも作ることの防げとなるくらいなら、
セキュリティのことは、全く考えなくていいよ。

なるほど。この思考ロジックに寄るのなら「家のドアから鍵を取り払ったんだ!! ほら鍵をなくす心配もないし、便利だろう?」が成り立つわけだ(いやまぁ確かにこれが「子供の秘密基地」ならYes)。

なにが大事かなんて、ぼくが決めることでもなく、提供側が決めることでもなく、利用者が決めること。
そこにどれだけの情報を預けるかは利用者が選択すればいいよね。

これは概ねYes。ただ、そのためには「選択するために十分な情報があること」が最低条件になると思うです。


なので帰結として。個人的にはこんな感想にたどり着くです。
「初心者が閉鎖空間でやるのなら」概ね賛同します。とりあえずモノ作ってみなきゃわからんので。
でも「一人で遊んでもつまらない」ですよね?
次に「初心者が趣味で知り合いのみに公開する」のなら、サイトのTopに「知り合いで訳知り以外は使うな」という表記のもと、概ね賛同します。
運がよければここでお友達が「善意のクラック」をして、色々と教えてくれるでしょうし学ぶ機会もあるでしょうし。
次。「初心者が趣味でanyに公開する」のは、あらかじめサイトTopに「自分が初心者でありセキュリティとかどうなってるかわからないから責任も取れないよ」と目立つところに明記することを前提に、否定はしません。
とりあえず入力情報に皆さん気をつけるでしょうし、例えばメールアドレスも「使い捨て用」を使ってくれるでしょうから(使い捨てられるフリーメールへのURIとかあるといいのかもしれない)。


ここまでがぎりぎり臨界点。


以降。つまり「注釈なく公開」したり「このレベルの発想で業務をやったり」するのは完全にNG。理由は言わずもがな。
で…あちこちで書かれてるようですが。高木先生にしてもまつもとさんにしても、おっしゃってるのは「業務でプロで」のレイヤーなので。
ある意味、ここでanonymousな方が書かれている対象となる(はずの)人とは、基本的に「違う世界の生き物」であるはずです。
そのあたり「住み分け」が出来れば、問題ないと思うんですがねぇ。


…うん逆に。サイトのTopにでかでかと「セキュリティ意識してませんけどサービス内容は面白いはずです!! イケてそうならプロに参入してもらってセキュアにしてから本格的にビジネス展開します」とか書いてあるサイトが出てきてそれがちゃんと「そのとおりに」流れていったら、それはそれでなにか面白い展開がありそうだ。


追伸
そうは言ってもねぇ。セキュリティで、こんな名言もあるのですが。
問「セキュリティホールは、製造過程のどこで紛れ込むものなのですか? その部分を重点的に意識したいのですが」
答「セキュリティホールは、製造過程のうち"セキュリティを意識しなかったところ"で紛れ込むものなのだ。だから"常に"意識しなくてはいけない」

*1:いやわりと本気で不明