ちょいと前に、twitterで軽くアンケートをさせていただいていたのをすっかりとまとめ損ねていたので。
ふとした疑問。
ECサイト(色々あると思うのでお好みのECサイト)にて。「買い物カゴに商品を入れる」アクションでCSRF対策は必要でしょうか? 主観バリバリでよいので、アンケートさせてください。
https://twitter.com/gallu/status/717927849726861312
不要のほうが多いのが、興味深いような納得感があるような。
おいちゃん的には「CRUDのうち、CUDにまつわるものは一通りCSRF対応の対象」って考えているのですが。
この辺にもまぁ、色々な色があって面白いなぁ、と。
ECサイトでいうと「勝手に商品をカゴにぶち込まれる可能性」があって。いやまぁ大体、支払いのタイミングで気づきそうな気もするのですが、「うっかり気づかない」のほかに「ECサイトの性質的に(大量に買う前提なので)気づきにくい」とかあったり、なんてのを考えると、色々。
もう一つ。
そういえば、な疑問。
「社内(あえて規模は書かない)で使うシステム」のセキュリティって………
https://twitter.com/gallu/status/793076216450338816
これは割れたw
19% 通常のopenなWebと同じ程度にがっつり
32% IPAの推奨に準拠する程度にはしっかり
31% 多少穴があっても気にならない
18% XSSやらSQL-Injectionやらも無問題
興味深いのが、2割くらい「穴がっぽがっぽでも無問題」ってあたり。「多少の穴があっても」を含めると5割。
多分「社内の管理ツールだから」なんだろうなぁ、と。
おいちゃん的には「内部犯行とかもあるしねぇ」って考えちゃうので、その辺はまぁ、人それぞれ。
おいちゃんのスタンスとしては割とはっきりしていて。
上のECのにしてもなんにしてもそうなんだけど「IPA推奨レベル、程度まではしっかりとセキュアに」が基本。
なんでかってぇと、それくらいなら「(事前にちゃんと学習コストが支払われている前提で)さほどセキュリティかけるのにコストがかからない」ので、天秤的に、やらないのほうに傾きようがないから。
で、それ以上の「特別にコストかけてでもがっちょりとセキュリティをはるか?」については、ケースバイケース。
うんまぁ前提が「IPAの内容とか、徳丸本とか、それくらいのレベルの学習はきちんとなされていること」なんだけど。
学習コスト自体は……エンジニアの特性その他にもよるにしても基本「支払ってるでしょ? 支払うでしょ? そのルート作るでしょ?」って発想が強いしなぁ正直。
最近だと法的リスクの問題もあるし(苦笑
どれが正解、ってもんでもないのですが。
まぁ「こんな話もあったよ〜」的なネタとして。
