■ [Wiki] Wiki小話/Vol.4

病み上がりで参加（昨日は39度も熱が出て点滴打ってたのだよ）。

Wiki処理系を作る前に〜歴史に学ぼう -Changelogは教訓の宝庫？（wakatonoさん）

足回りまで面倒見るのは大変だなーという印象。だもんで、仕事だと開発と運用は分かれてしかるべきで、その上で両者が交流できればよいのかな、とかなんとか、個人的な環境を考えながら聞いてた。

あと、これ読んでおこう。

Webアプリケーション監査〜攻撃者の観点から（国分さん）

脆弱性を指摘するよりも安全性を保証するほうが難しいよなー。 だもんで、監査の報告ってどうやるんですか、という質問をしてみた。

作成したSIerさんを交えて微妙な空気の中で報告会を行うこともあれば、 お客様のみに報告して「業者変えたほうがいいっすよ」って言うこともあるらしい。 なお、脆弱性がゼロのアプリケーションは5%くらいだそうな （ただし、監査を依頼してくる時点で最初からある程度ヤバそうなアプリなのかも、とのこと）。 あーーーー。んじゃあ、その5%についてはどうやって脆弱性がないことを保証しとるのか、というところまで聞くべきだったなあ。しくった。

でもって、そこから瑕疵責任はどーするよーみたいな話につながって、結局は契約と両者の合意によるんだけど、まあ概してSIerのほうが弱いっすよ、みたいな結論に。そりゃそうよね。

あと、たつをさんの質問とたださんからのポインタ。

• UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
• Unicodeバグについて

メモ：AppShield、mod_security、gardian(?)、SELinux

懇親会

病み上がりなのでウーロン茶だけ。ぐでーってなっちゃってた。今は反省してる。つか、知らない人ばかりだったお。もっと席移動すべきだったかも。でもWikiについて別に意見なんかないしなー難しいなー。これも反省してる。

Web2.0の次はーとかいう話が出たんだけど、それよりもMindHackでHumanのバージョンアップしないとね、とマジでオモタ。脳の話題が最近、大好き。