徳丸さんのネタで出ているセミナーにて「開発者にセキュリティの知識が必要」と言われていたが、これにかなり疑問を持ってしまった。
以前は確かに私も、「セキュリティ知識が開発者にも必要」という考えだったけど、このところの入力検証とエスケープ処理についての議論とか見ていて、「セキュリティ知識は開発者に要らないんじゃね？」という風に変わってきた。確かに「セキュリティ意識」は開発者に必要だろうけど「セキュリティ知識」となるとあまりいらない気がする。
アプリケーションのつくりとして、「ヨソウガイ」の入力に対しても誤動作(セキュリティ上の脆弱性も含まれる)しないようにするためには、SQLインジェクションがどうだとか、XSSがどうとかと言った「セキュリティ知識」は要らないんでないかな？エスケープ処理にしても、入力検証にしてもこれらは別にセキュリティ対策のためにやるわけではなく、どんな入力があっても、アプリケーションが誤動作しないようにしたり、アプリケーションで有効でないデータを除外するためのものではないのか？
こういったことを考慮するって、「知識」というより、「意識」の差でしかないような気がするなぁ。

まあ、これについてはもうちょっと考えてみよう。