http://wikibana.socoda.net/wiki.cgi?Wiki%be%ae%cf%c3%2fVol%2e4
行ってきた。
宴会にも参加。
インターネットに関わってる人なら多分一度ぐらいは
ウェブアプリケーションを作ったり設置したりしたことがあると思う。
わたしもいわゆるウェブアプリケーション屋じゃないけど、
必要に応じていろいろなウェブ CGI やらサービスやらを
作ったり設置したりしている。
そういう人にとって、こういうセキュリティの話は
正直なところ耳に痛すぎるのよね。
言い訳は以下のような感じか。
- だってえね、攻撃手法はどんどん増えてるし、、、
- 数年前は OK だったり常識だったりしたことが駄目になるし、、、
- セキュリティを意識しすぎると手が止まっちゃって、
やりたいことができなくなっちゃうから、
適当なところで妥協せざる得ないし、、、
- すべてのレイヤを全部自分でいじれるわけじゃないし、、、
- そもそも予算とかリソースとか確保できてなかったり、、、
- 取られて困るものはないし、、、
開発する側の気持ちを言えば、
- なるべく楽をして
- そこそこ安全に
- やりたいことをすみやかにしたい
と思うんだけど、理想は遠いのう。
ウェブアプリケーションを作ることになった場合の、
仕事上のチェックリストは以下のような感じかねえ。
- やりたいことを明確にする
- 守るべきものを明確にする
- 必要な予算を確保する
- 良い運用者を確保する
- 良いプラットフォームを選定する
- 良いフレームワークを選定する
- 良いプログラマを確保する
でもこんなことを、いちいち考えるより、
思いついたことを、えいや、で作って、
どうこれ?、と言うほうが楽しいよねえ、、、、、
自分ではそれなりにやってるつもりだけど、
それなりだしなあ、、、、
うーむ、うーむ、、、、
結論。
年末にセキュリティの話は暗くなるから良くない。
参考)
wakatonoさんの資料は以下に公開されています。
とても良くまとまっているので一読をお勧めするです。
wakatono さんの資料
http://d.hatena.ne.jp/wakatono/20051222
国分さんの資料は日記を見てればそのうち上がってくると思われ
国分さんの日記
http://www.devnull.jp/tdiary/