「仕様で規定されていないので、瑕疵ではない」

あるWebサイトに、昨年起きた事故の顛末が載ってました。その中に書かれていたベンダーの言い分が、冒頭の言葉です。確かに間違いではない。契約上はその通りで、法的に問題がある訳でもない。だけど、瑕疵かどうかの話が「SQLインジェクション」っていうんだから、仕様云々の前にリテラシーを疑ってしまいますね。

だいたい、脆弱性とか攻撃とか言う前に、正しくデータベースを操作するためにはエスケープ処理が必要であって、そこがしっかり行われていればそもそも問題は起きないはずなんですよ。それを「SQLインジェクション」なんて難しそうな名前を付けて、いかにも高度なハッカーの手口のように問題をすり替えているのがおかしい。仕様で規定されてないっていうけど、異常値の試験をしていれば普通は気づくでしょう。　とは思うのですが世の中、まだまだリテラシーの低い方々もたくさんいらっしゃる様なので、しばらくはセキュリティ屋が活躍できる場は続きそうですね。

ちなみに冒頭のようなベンダーは私なら絶対頼みたくないけど、案の定変更されたらしい。そりゃ当然でしょうな。せめて痛み分けってことで折半くらいにはすべきだと思うのは私だけではあるまい。

他山の石ということを肝に銘じたい。