「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」

noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える＝意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セッション変数が攻撃者に改竄されることまで前提としたらCSRFどころじゃないし何も

[ockeghem]

セッション変数が改ざんされる前提で、安全な方法として採用された対策に興味があります←そこか

[w1234567]

相手のメンツを潰すようなクソ生意気な指摘の仕方をしちゃうと正しいことも通らなくなる

[FTTH]

その状況でそれ云われたら「俺が指摘するまでこの脆弱性に気付かないほど意識高い人は云うことが違いますね　勉強になります」って返すかな（皮肉が理解できずベタに感謝と受け取る奴がそれなりにいる

[yoko_yoji]

「リスクゼロ思考」って自分が実装しないからこそ出てくるのよ。リスク1を0.001にするよりリスク0.001を0にするほうがはるかにコストがかかるものだが、コストを負担するのは下々の人間だから知ったこっちゃないという。

[Jinmen]

「VLANを使っても物理的に分けないとハッキングされる恐れがある」って言われたことある

[napsucks]

Yes but法を使って「おっしゃるとおりです！まさしく！・・・でもないよりはましかと思いますし、手軽ですよ」って言えば通ったかもね。めんどくさいけど言い方の問題かと。

[su_zu_ki_1010]

君は新人だから知らないと思うけど仕様書が間違っていることもある。じゃあソースを見ればいい？いや、ソースが間違っていることもある。

[NetPenguin]

あー、これはくらうと悔しくて翌朝目が覚めるまでまともに会話する気がおきなくなるな、私だったら。

[ElizaAcolyte]

で、結果的にどーいう対策がとられたのだろう？

[Eimelle555]

言い方＆新人に指摘されたってところで面子が潰れた…ってことなんだろーね。他人と何かするときは言い方とか空気読みつつ上手く立ち回らないと。だがしかし、そんなクソ開発者しかいない会社潰れちまえと思う。

[rolls01]

この人のようにしっかりと勉強をしながらも社会性の無い人の話が武勇伝気味に出ちゃうと、エンジニアは技術力さえあれば性格がクソだろうが問題ないというヤな見解が浸透しちゃうのでげんにょりする(とばっちり)

[mashori]

転職できてよかったとしか

[rizenback000]

正論だけで人は動かせんのだ。残念ながらね。

[countzero00000]

気になる

[popoi]

亡父を思い出す。詳しくない事に自信満々で手を出して、台無しにする名人だった。そして一欠片も反省はしない。或る程度大きくなってから、「あんたは何でいつもそんなにガチャガチャしてるんだ」と怒鳴りつけた。..

[otchy210]

ちゃんと最後に転職した旨が触れられていて良かった。優秀そうな人がこんな職場で疲弊して欲しくないわ。

[suginoy]

最後がダメ職場を見限るいい話だった。

[k12u]

“リスク管理ができない”というよりは単に非論理的な人たちと遭遇した体験談では

[mkusunok]

メンツを保つためにデタラメいったのかなぁと思ったけど、間抜けなことをしてセッション変数を破壊した経験でもあったんだろうか

[tak4hir0]

「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」 - Togetterまとめ

[htnmiki]

会社名を出さないこの人は彼らの共犯者だと思います

[miya2000]

「セッション固定攻撃」とか「CSRF対策にセッションIDを使うことの是非」とかが頭の中でウンコになっていたのかも。

[sakamata]

何がヤバイのか俺でもわかるようになった。PHP始めて1年目の俺でもこれはヤバイ

[catbears]

メキシコ漁師みたいな雰囲気。それぞれが結果としてそれぞれの住む場所に帰っただけという切なさと一冊の本だけがのこされたエンディング。

[wata88]

つらみ

[sinzysinzy]

セキュリティ

[kamezo]

最初と最後のツイート以外、ほとんど意味がわからない（用語がチンプンカンプン）。最後のツイートを言祝ぎつつ、最初のツイートを噛み締める。

[Ohgyoku]

"意識低いというより意識不明"

[sin20xx]

PHPerおなじみの顔が揃ってる件について。それはさておきこういうのは面倒だよね。社内の技術力があまりにも低いと提案の内容も理解されないし、その上、そういった問題点を整理解決するのもそっち側という矛盾

[wwolf]

生半可な知識のまま歳だけ喰った老害にありがちなパターンｗ

[mumincacao]

動作確認するときに直接描き替えることはあるかなぁ？ せっしょん保管場所を読み書きする権限があるからこそできることだけど・・・ 放置してる脆弱性で描き替えれる状況だからって理由かも？（ーω【みかん

[maski]

その上司がメモリ破壊を起こしてセッション変数を改竄していた可能性が高いと思います。

[hengsu]

.@kenji_s さんの「「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」」をお気に入りにしました。

[mas-higa]

じゃあ安全な対策教えてくださいよ。センパーイ

[shigekaz00]

リスクを指摘するのは簡単だからね。

[hamukatumix]

隕石が自分めがけて降ってくる可能性を考えた結果、世をはかなみ自殺するみたいな。まずはリスクの認識と評価をしましょう。無視できるものは無視することを学べ。

[deep_one]

ブラウザを介してトークンを盗まれる可能性があるのでアクセスの度に変える仕様にしたら、リロードするとはねられるぐらい固くなった記憶。やり過ぎた。／セッション固定系の何かのことか？

[oktnzm]

LANケーブルで亀甲縛りしたくなるレベル

[linus_peanuts]

うちに来てるコンサルがこんな感じだなあ。全て思いつき、聞きかじり、で根本は何もわかってないの。で、知識のない社員が鵜呑みにして開発が呆れてるみたいな。