daishiroの日記

インターネットのお仕事とかインターネットのカルチャーとか

セミナーレポート:第8回WebSig会議「ディレクター・制作者が知っておくべきセキュリティー」

第8回WebSig会議「ディレクター・制作者が知っておくべきセキュリティー」に参加してきました。

テーマは、プログラマーじゃないWEB制作者が、WEBアプリ制作に関わる際に注意すべき事について。前の会社で中途半端にプログラミングしていた時に、右往左往しながら留意していた点の再確認が出来てよかった。俺の場合は、もとが理系で情報収集が好きなので、全然苦にならないのだが、デザイナーさんや営業寄りのディレクターはこれから大変だろうなぁ。ちょっとしたフォームにだって脆弱性はついて回るわけだし。

気になったのは2点。

[1] PHPの普及以降、WEBプログラミングの敷居が下がったけど、その分、質も下がったような気がする(2ちゃんやPHPのMLを見ていての感想で現場は知らんが)が、とすると、早い段階でセキュアな開発を心がけるように教育する必要があるんじゃないか?入門書などで、フォームの作り方とセットにして不正入力チェック→エラー処理のフローを学ぶくらいの方が、多少敷居が高くなっても、将来的に有効な気がする。

[2]『システム屋がHTMLを理解していない事による脆弱性』の話があったけど、システム屋からすると、「じゃあsmarty等のテンプレートエンジン使うから、HTMLにパラメータ埋め込んでくれ」って事になりそうな気が。この話が無くても、『マークアップエンジニアがコーディングしてから、プログラマがそのHTMLをシステムに組み込み』という手順から、『マークアップエンジニアのテンプレート作成とプログラマのプログラミング(View以外)が同時進行』にはなって行くんだろうけど、そうすると、ますますプログラマー以外のセキュリティに関する知識が要求されるんだろうな。