パラノイアのプログラマと第６感 - megamouthの葬列

今だから白状すると、昔、運営していたサービスの一般ユーザーのパスワードをハッシュ化（暗号化）せずに平文でDBに保存していたことがある。 言いわけは、幾つかある。 一つは、今では当たり前のようについているパスワードリマインダーの仕組みが当時は一般的ではなかったこと。 ユーザーがパスワードを忘れた、と問い合わせしてきた時に、最も自然な方法はまさに当人が設定した「パスワード」を一言一句違わず登録メールアドレスに送信することだった。あなたのパスワードは○○○です。ああそうそう、そうだったね。こういう感じだ。 当時のユーザーはそれを不審がらなかった。 またサポートコストの問題があった、パスワードの再発行を、そのためのトークンを含んだ長いURLを、大半のユーザーが嫌がっていた。 サポート部門はOutlookExpressに表示された長すぎるURLのリンクが途中で切れててクリックできない、という苦情にい

[ockeghem]

その時私はteratailで仕事関係と思われる訳のわからない質問を解読して回答しようとしていた>『そんな時、徳丸先生ならどうしますか？』

[tsutsumikun]

確かに、ここに書かれていることは、一面の真実ではある。セキュリティでやらかして潰れた会社はほとんどないに等しいからこそセキュリティは軽視され続けるというのはなかなかに説得力はある。

[cad-san]

セキュリティーは顧客に希求しないが『必要なコスト』であり、つまりサビ残と同じ位軽視される。人件費のコスト移転がSIer構造を形作ったように、認証のコストを押しつけ合った結果が今起こっている問題なのだろう

[mon_sat]

「正しいことをしたければ偉くなれ」って和久さんが言ってた

[Amigomr]

エンジニアはセキュリティを「車のブレーキが効くこと」と同じくらい重視している。だけど、ユーザからするとセキュリティは目にはっきり見えるものじゃない。だから一時的にイメージダウンしても潰れないんだろうね

[kotas]

セキュリティはエンジニアの職業倫理でかろうじて保たれている脆いもの

[dadabreton]

こういうのはITのセキュリティに限らない。ニュースやネットで「こんな基本的なこともしていなかった」というような叩かれ方をする多くのこともこんな感じ。

[hatest]

タイトルの第６感がどこにかかってるかわからないけど、「納期と金の前にPGのプライドは捨てられる」ことに慣れっこになったおれがいる

[htnmiki]

徳丸先生にボールが投げられた

[spark7]

ネット上では意識高いけど現実ではレガシーな実装のおもりしてるエンジニアも結構いると思う。

[diveintounlimit]

わかりみがふかい

[toritori0318]

“「大変なこと」はしょっちゅう起こっている。でも、それで世界が終わってしまったかというと、全くそんなことはなかった”

[masadasu]

今までのインターネットはセキュリティの必要が薄いサービスで顧客の満足度の高いサービスが優先的に開発されてきた。当然フロンティアが無くなると危険地帯に活躍の場を移さないといけなくなる。

[tossy_yukky]

世界の真実が詰まってた

[modoroso]

社会はわりと適当で回っている的な話だな

[uehaj]

人が死んでいないからだね。金の問題は金で解決できる。それ以上でも以下でもない。それが金の良さでもある。

[t-murachi]

そも大抵の場合、ある程度出来上がって走り出してしまってから気を使いだして予算立てたって今更どうしようもないってことが少なくない領分だからなぁ…(´・ω・`) ユースケースに盛り込めと(´・ω・`)

[koogawa]

新作出てた

[boshi]

シュール！

[wata88]

コインチェックのガバ、被害よりも儲けのがデカそうだったのが印象的だった

[shikiarai]

営業がねぇ、セキュリティ意識低く受注してくるからねぇ。基本情報なんて見積の直感に響かないからなぁ。それすら取ってないのもいるけど。

[umai_bow]

予算がないとかじゃなくて、セキュリティなんて実は大したリスクじゃないから金をかける必要なんてある？って話でしょ。コインチェックですらまだ潰れていない！Zoomもいい例。

[Ni-nja]

セキュリティは大した予算も割かれない割に「当然のこと」とされてる感があるよなー。ソーシャルハック回避かあんまり専門家が目立ってない分野な気も。金融系の業務システムとか絶対関わりたくない

[qtamaki]

2000年代初頭にはハッシュ化は常識だった。非常識なシステムがあっただけで

[diffie]

パラノイアなプログラマがいなくても何とかなるってことは、ビジネスとして成熟したってことさ。ところで15年前に作った生パスワードなシステムがあって、作ったの俺だし、俺しかいじれないし、やる気待ちではや15年

[iTaro]

収益性という制約に対して、潜在的なセキュリティリスクを正しく評価するのは難しく、経済性と倫理観（もっと妥当な言葉があるかもしれない）の間にある溝は、削られた当事者のメンタルで埋められているのかも

[lochtext]

ITシステムにとってのセキュリティって、製造業における安全と同じ位置づけのはずなのねん。それを軽視してる人が多いの、現場猫を笑えないのねん、、、、

[evans7]

俺の家の鍵だって開けれるヤツには好き勝手開けられるだろうけど隣の家の鍵より劣ってなければどうでもいいワケよ。セキュリティってそういうもんじゃん。実際に機能するかどうかは問われてないんだよね。

[usurausura]

やっぱり欧米並みの懲罰的賠償制度を導入するしかないのかな。消費者を保護し産業界の成長と健全な競争を促すためには

[ryuichi1208]

セキュリティは各々のエンジニアの倫理観やらモラルによって保たれてる。性善説的な考えなのだろうか難しい。

[sds-page]

大きな声じゃ言えないけど医療分野も･･･やっぱ言えないや。セキュリティ案件じゃないけど旭川医大は訴訟沙汰になりましたね･･･

[damedom]

良いポエム。本当に技術的知見がある人に金も権限も渡さないから結果として儀礼だけが増えていく

[amemiyashiro]

「セオリーとしては分かってるけれど現実的にはこれ」みたいなことをついつい言い出してしまう人間としては耳が痛い。

[vamview]

わかりみ of わかりみ。わかりやすい課題や要望に常時追われて、顕在化しづらいリスクはプライオリティを下げざるを得ないし、下手すると今はそれどころじゃないだろ、と内部評価が下がる可能性すらある

[mventura]

※ "正しいことをしたければ偉くなれ" 重い言葉だ

[Gewalt]

https://b.hatena.ne.jp/entry/s/www.megamouth.info/entry/2018/05/21/031550　なんか見覚えあると思ったらこれの人だった

[houyhnhm]

正しい方向に労力かけて何とかする方向かな。疲れたら音を上げるけど。押し込んで来た人らが責任取ってくんないからねえ。上が変わったらアッサリ手のひら返されるよマジ。

[sugawara1991]

徳丸先生がパスをスルーというか流れ弾感ハンパないのですが/要件に積まれてなければ実装者の良心次第てのは何につけそうかも

[mobius118_7]

ブコメ見て納得。車で言うならセキュリティはブレーキじゃなくてエアバックだと思われてる。

[sabacurry]

ISO27001で言うところのリスクの保有