なんとな〜く
つっこみたい気分。
http://japan.cnet.com/column/security/story/0,2000047997,20054680,00.htm
いやね、「コンテンツ、作り込みCGI、ASP等作成時に実施すべき項目」で。
「ソースにコメントを書かない」とあるけどコリャいくらなんでもおかしいんでないの?まあ、HTMLソースってんならわからんでもない。でもプログラムソースにコメント書かないのははっきり言ってめたくそに悪いと思うぞ。大体、攻撃者がソースを入手したらコメントのあるなしに関わらずコードを必ず読むって、そしてそれを元に攻撃を考えると思うのだがねぇ。逆にメンテナンスのことを考えたらコメント書かないのは非常にまずいって前前から言われてることだしねぇ。
あと、「SQLインジェクションに配慮」で「DB上でのチェックだけでなく、DBに渡す前にもチェックする。」って書かれてるけどDB上でチェックってできるの?いやまあ、できんことはないと思うが余計にややこしくなるのがオチだと思うんだが・・・
他にも「自前のルート証明書を作成しない」とか「ブラウザのセキュリティレベルを下げさせない」だとかあるけどなんだかなぁって感じ。
「自前のルート証明書を作成しない」に関しては通信経路を暗号化したいって言う理由で使うことはありだと思うし、「ブラウザのセキュリティレベルを下げさせない」なんか違う気がする。
まあ、全体的に言ってることは間違ってないと思うので良しとするかな<ってこんなこといえる立場か、自分。