ものすごく直近としては、teratailでの、とある質問(複数)&他の人の回答を見たあたりで
・セキュリティ的にシャレにならんもんが書いてある
・一瞬、突っ込もうか悩む
・「否定的な返答の可能性」が脳裏に横切って、面倒なんで放置
ってのを大体脳内で1秒くらいでやりとりしたあたりが直近なのですが。
うんまぁネタ自体は「わりとあちこちに転がっている」ので。
割とよくあるのですが
・コード(設計)上の、(はっきり言うとかなり初歩的な)セキュリティホールを発見
・指摘
・「一端動かすのが大事なのです! セキュリティは後で直すのです!」という返答
という一連のやり取り。
指摘については「やんわり」から「がっつり」までバリエーション試してるので、多分どれでやっても一緒なんだろうなぁ、という印象値。
で思うのだけど「後でっていつよ?」
ちなみにいくつかの案件でみた「後で」のその後の経過って、大体ワンパターンで。
・初めは「一端動かすのが大事!」という理由でセキュリティドン無視
・サービスが動き出す
・セキュリティを考慮するには、ある程度の工数が必要(な程度に汚い作りと設計になってる)
・「そんなコストは現在かけられない。あとで余裕がでたらかける」といってセキュリティ無視
って流れで固定。
まぁ「リスクが見えない人」にとって、セキュリティにかけるコストは無駄だわなぁ。
もちろん可能性とし「ちゃんと後日の修正コストを見越しての、設計とコーディングとスケジューリング」が出来ているところが0とは言わない。
でも、例えば「通信インタフェースの設計でミスってる」場合、そのレイヤーから修正するのって、かなり手間ぢゃない? って思うざますの。
根っこにあるのは「勉強不足」と「知識不足」。
その不足が「学習が足りない」のか「発展途上」なのかはまた別議論なんだけど。「学習が足りない」んなら正直「そのレベルで金もらって仕事すんな」って感じだし、発展途上なら「今このタイミングで学ぼうよ後回しなんてしないでさ」って思う。
それを「後で」って棚に上げる時点で、なんていうか「どんなもんなのかねぇ?」と。
なので。
「セキュリティは一端無視」って言われた時点で、おいちゃんのプロジェクトでないのなら「あぁそうですか(微笑み)」で終了だし、おいちゃんのプロジェクトなら…多分、言った人間切って終わり、かなぁ(苦笑
以上、ふと思いだしたので、戯言程度に。
