Hatena::Groupsecurecode

禁止事項

禁止事項

攻撃方法のみを紹介

このグループでは、「コーディングレベルでいかにセキュアな実装が可能か?」をテーマにしています。それ故該当システムに対しての攻撃方法のみを解説するような行為は、禁止します。攻撃方法を紹介する場合は、防御方法*1も一緒に添えてください。

悪用厳禁

このグループ内および勉強会で得た脆弱性情報をもとにご自分の責任下におかれていないシステムに対して攻撃などを禁止します。該当システムの管理者に許可なく攻撃することも同じことです。なおこれを悪用と定義します。

容姿で判断

「ジーパンだから」および「スーツだから」と言ったような偏見でコードおよび発言を評価しない。

ここは、コードベースで議論する場です。コードのみを見てセキュアかどうかを評価してください。

製品宣伝

「弊社のシステムを導入することに解決できます」と言ったような製品およびソリューションの宣伝を禁止します。しかし対策案の議論の中で製品名を提案することは、問題ないです。利益目的の宣伝および営業活動を禁止します。問題のないと思われる事例を下記に記しておきます。

事例:壱

Aさんの発言:
  「WindowsでセキュアOSみたいな機能を使用したい場合は、どうしたらいいんだろう?」

Bさんの発言:
  「それってPitBullもしくはSecuveTOSしかなくね?」

Aさんの発言:
  「まじで!?」

Bさんの発言:
  「どっちも商用だけど…」

人格攻撃

ここは、コードベースでセキュアかどうかを評価する場です。コード書いている人が、仮に人格的な欠陥があったとしても私は、そこを言及しようと思いません。あくまでもコードのみで評価したいと考えています。しかし、禁止事項に触れるような行為が、あった場合言及されてもよいと考えています。行ってほしくない事例を下記にあげておきます。ご参考ください。

事例:弐


高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1

http://takagi-hiromitsu.jp/diary/20061104.html#p01


ここギコ!: tokuhiromの書き方、頭悪りい

http://kokogiko.net/m/archives/002118.html


プライバシー侵害

もはや説明する必要性はないでしょう。許可得ていない方の顔などを写真撮影することもプライバシー侵害とします。なんだかの理由があり写真撮影を行いたい場合は、会場のスタッフもしくはAzureStoneにご相談ください。

企業批判

ある企業の製品において非セキュアなコードを見つけ、それをネタに企業批判を行うことは差し控えて下さい。当グループの趣旨ではございません。サポート対応が悪いまたは、仕様だと言い切ることにどうしても不満を覚えるなら当グループ以外の場所でその旨を言及して下さい。当グループは、あくまでも「コーディングレベルでいかにセキュアな実装が可能か?」をテーマにしています。

企業圧力

当グループは、禁止事項に「攻撃方法のみを紹介」および「企業批判」をあげているだけあって該当システムに非セキュアなコードを存在してもそれネタに企業を批判を行うつもりはございません。またそれにまつわる企業からの申し出は、禁止事項を抵触していない限りお受け致しません。金銭を受け取ることなども致しません。

最近、日本国内の企業でも参考URLな事例を多々見かけるようになりました。

セキュアコーディング勉強会のインフラに異議申し立て

当グループでのインフラにおける異議申し立ては、控えてください。スタッフが、特別対応の必要があると認識した場合以外においては、インフラは改善されません。完璧なセキュリティ運用は、当グループの趣旨ではありません。資金面・時間的コストを考慮した結果対応できないと判断する場合があります。当グループは、「コーディングレベルでいかにセキュアな実装が可能か?」をテーマにしています。信頼性・安全性・管理の厳密性を問う場ではありません。

事例:参

Aさんの発言:
  「どこそこの認証をSSLに対応して戴きたい!」

スタッフの発言:
  「現在、対応の予定はございません。恐れ入りますが、現状のインフラでご利用ください。」

Bさんの発言:
  「資金面で苦しいとのことでしたら、私のところのサーバで運用しましょうか?」

スタッフの発言:
  「ご支援申し出ありがとうございます。せっかくで非常に残念ですが、現在サーバの以降等を
   含め現状のままで運用の継続を考えております。また申し出つきましては、大変申し訳ないのですが
   辞退させてください。」

セキュリティハラスメント

参加同士またはその他において

AzureStoneを正しく発音できない

AzureStoneと記して「あーじゅ・すとーん」と発音します。

決して「あずれ」だとか「あばずれ」と発音しません。


キーワードの指標

ネタ度☆☆☆☆☆
真面目度★★★★★

*1:概念ではなくコードでどのようにして対策するか