Sep
11
“第三の柱は、他人のあやまちから学べ。その第一点は、アプリケーションのベンダは日頃からきちんとした仕事の習慣をつけておくこと。それは、Brianのような人が親切に脆弱性を指摘してくれたとき、“そんなメール見てないよー”で丸一日浪費しないため(Appleさん聞いてるかな、次はあんたのことを書くからね)。‘きちんとした仕事’とは、セキュリティ問題についてコンタクトするための専用のページを作っておくこと、PGPキーを使うこと(サイトの脆弱性が世の中全体に知れ渡るのはまずい)、セキュリティ問題が発見されたときのポリシーを明文化しておくことだ。“それはうちの責任ではありません”は、ポリシーではないよ。”
RubyOnRailsのXSS脆弱性がTwitterとBasecampとぼくの魂を殺した
