気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
blog.tokumaru.orgエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント312件
- 注目コメント
- 新着コメント
kibitaki
技術詳しい人はSQLインジェクションに目が行くようだけど、大事なのはこれが請負じゃなくて業務委託、かつ完成物に対する最終責任は発注側の検収に集約で後は瑕疵担保1年程度という契約定型がブッ壊されたことかと。
deep_one
「管理機能のID/パスワードが admin/password であった箇所を読んで、しばらく余韻にひたっていた」…重要機能は初期パスワードから乱数にしようと心に誓った。/セキュリティーコードを記録した時点でY社を擁護できない。
Funyapu
今後開発会社は必ず外部セキュリティチェックを受けてからじゃないと納品すると恐ろしい目にあうってことかな。SQLiに限らず、他にもリスクはあるわけで、その対策は仕様書になくてもするべきってことは…
kawamurayuto
❝1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償
else
原告は、20万円の追加対策を指示しなかったことを過失と認定され、過失相殺として損害賠償金額を3割減額されました。20万円ケチったために、1,000万円近く損したことになります。 このことから、開発会社側は、採用され
y_maeyama
発注者・受注者ともにぐだぐだだけど、ちと発注者側が有利すぎる判例が出来てしまったんじゃなかろうか・・・。それはともかくカード情報とか自前管理は絶対しちゃいけないと強く思うなどする。
raitu
経産省およびIPAからの情報セキュリティ対策の注意喚起が「専門家として当然はたすべき責務」の基準と判断された判例。あとソフトのみでもPL法的な製造者無制限責任に近づいた。組込屋としては「ようこそこちらへ」
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償... ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
blog.tokumaru.org
blog.tokumaru.org
blog.tokumaru.org
blog.tokumaru.org
mainichi.jp
posfie.com
anond.hatelabo.jp
posfie.com
zenn.dev/driller
levtech.jp
uepon.hatenadiary.com
togetter.com
forbesjapan.com
www.itmedia.co.jp
type.jp
lrandcom.com
www.sapplife.net
www.yuu-diaryblog.com
suumo.jp
engineers.ntt.com
onaji.me
tech.nri-net.com
2015/01/22 リンク