20100904171614
ひょっとしてそれはギャグで
本日、某ML伝のコンピュータ好きが集う集まりにて、耳を疑うことを聞きました。その集まりのWebアプリケーションのセキュリティについての勉強会にて「ログを出力するのはセキュリティ上良くない」ということ。続いて「問題のトレースには必要であるので、我々はログを指定した場所に出力を啓蒙させている」という事の公言。さも当然のように「ログの出力は良くない」とされている・・・何を言っているんだろう。これは私が藁人形論法に釣られてしまったのだろうか? 話し手たちの立場が違うのかイマイチ話が分からない・・・是非とも教えて欲しいところです。
ログはシステムの内部が丸見えとなる理由からという良くないとの説明でしたが、ログは普通は開発側しか見れない仕組みであり、外部にログを出力する人はいるのでしょうか?見れない場所に置いても問題なのであれば外部の人間が見れているということで既にプログラム、サーバ、ネットワーク含めてアウトだと思います。開発内部向けの話としてもプロジェクトの人間の間での実装情報を隠匿するって…何か理由があるのでしょうか。大企業では製品の分担で互いの担当作業のログを隠匿する必要があるのでしょうか。敢えてログ出力をしない選択肢がイマイチ思いつきません。そもそも管理系のではなく、アプリケーションレベルの話で。なんとも消化不良だ。
