気になったのでメモ。
- 広島市曰く「警告は出ますがセキュリティ自体には問題ない」
名言だと、感じた部分
私: なんでそうなっちゃったんですかね。けっきょく誰が始めたかわからないけども、警告が出ても進んでいいと言っている人があちこちにあるんですよ。 Webサイト見てもですね、こんな警告が出るけども問題ありませんという解説を書いているところっていくつかあるんですね。そういうのを見た経験のある人がですね、「警告は無視してもいいんだ」ということをなんとなく思うわけですよ。そういう誤った理解がどんどんどんどん伝染病のように広がっているわけですね。それが問題の根本なんですよ。あなたもそれにひとつ加担したわけですよ。あなた自身もその誤解をしたのは、つまり警告が出ても「はい」を押して進んでもいいと思ったのは、きっとどこか誰かがですね、うちのサイトで警告が出るけどもこれは無視していいとか書いてたわけですよ。それをたぶん目にしたんでしょう。だから、あなた自身も警告が出てもべつに異常と思わない感覚がついてしまって、またそれを別の人に伝えて、また別の人がそう思うようになっていくと。こうやってどんどん広がっているわけですよ。
- 高知県情報企画課曰く「とくにおかしいと思わない」
- 簡単な結論
けっきょく、自治体の担当者が発注仕様書にセキュリティ要件を書く能力がない限り、Webアプリケーションのセキュリティ欠陥の問題は解決しないわけだが、少なくとも上の問題については簡単に解決できる。
ようするに、Webアプリケーションの発注仕様書に、
ブラウザが警告をひとつも出さないこと。
という要件を入れておくだけでよい*1。どんな素人にでもできることだ。できない理由はあるまい。
*1 ただし、ActiveXコントロールのインストールをさせる必要がある場合には、署名済みActiveXコントロールのインストール確認ウィンドウだけは出すことを許さざるを得ない。その場合、正しく署名させるなど別のセキュリティ要件が必要となる。