542 仕様書無しさん sage 2015/01/23(金) 12:39:08.24 >>541 ちょっと違うと思う。IT疎い人はこういう説明でなるほど開発会社が悪い!となって、裁判官も多分そう思って判決出してる。 普通に運用しててビニール入るのは欠陥だが、SQLインジェクションは欠陥ではない。 俺が思うに、ローカルのディレクトリが外から見えるようになってたとか、認証掛けてるつもりがかかってなかったとかが重過失。 何故ならそれは家に鍵を掛けずドアが開いているか、ドアがないのと同じだから。 泥棒するつもりのない人でもうっかり入って来れちゃう。 それに対しSQLインジェクションは犯罪者がすること。悪意を持って行われる攻撃行為で、一般人はやらない。 家で言うと鍵のピッキングだな。 ピッキングで泥棒入ったら工務店が悪い、みたいなのが今回の判決。 ピッキングにどこまで耐えられるように作るべきか、事前に仕様で決めておく必要がある。今回はSQLインジェクション対策が仕様に入っていなかった。 仕様にないから強い鍵を付けなかったら破られた。これを重過失ってのはひどすぎ。重過失って故意に匹敵するレベルの過失だぜ。契約書の賠償上限無効にしてしまう程の。 俺の考えはこうだ。SQLインジェクションなどセキュリティ対策の実装について、 仕様に書いてあった → 重過失 仕様に一切無し →無罪または普通の過失 パスワードがadmin/passwordとか改善の提案を拒否したとか別の話も話をややこしくしているが、話のコアの部分は以上のようなことだと思う。