• 初心者はPHPで脆弱なウェブアプリをどんどん量産すべし

これを増田に書くってことは、idでこういうことを書くことのリスクがわかっているのだと思います。

もし、この増田君の友達が、これと同じ内容をid晒して書くと言ったら、増田君は何と言うでしょうか。

• 「そりゃ言ってることは正しいし、俺も本当にそう思うけど、IDはやめとけ。増田にした方がいいよ」
• 「なんで、俺のブログなんて誰も見てないよ。見てるのはお前の他に数人だよ」
• 「だめだめ。ブログってのはいろんな所でつながってるんだから。セキュリティの偉い人に見つかったら絶対晒し上げされるぞ」
• 「別に言わしときゃいいじゃん。怒られたってどうってことないじゃん」
• 「そういう人はスキル高いしその上に粘着質な奴が多いから、絶対、正体探られるぞ。会社とか住所とか全部晒されるぞ。『この会社にはこんなに意識の低い人がいます』とかやられるぞ」
• 「どうやって調べるの、どこの誰がそういうことするのよ」
• 「いや、俺も詳しくは知らないけど、ブログを書くってことはそういう可能性を想定しておくべきで」
• 「おまえさあ、そうやってブログの初心者ビビらせて何が楽しいわけ。もし騒がれて問題になったらそん時謝ればいいじゃん。痛い目見たらイヤでも身に付くから。怖がって最初からやらないより、なにかやらかして学ぶ方が100倍いいに決まってる」

どうなんだろうなあ。そうは言わないかなあ。まあ、それはともかく

WEBセキュリティは技術の話で、技術は理論ではなくて現場の話。現場には理想と現実の妥協がつきもの。最適解は状況によって違ってきます。

でも、WEBには、そういう一般論と違う部分があります。そのWEB特有の問題に対する心構えは、これを匿名で書くという判断の延長線上にあります。

つまり、別に軽くスルーされるかもしれないし杞憂かもしれないけど、万が一、晒し上げされたりして強い悪意がある批判を受けた時のダメージが大きいから、その万が一に備えたのではないでしょうか。

だから、増田君は、WEBセキュリティの中で、WEB特有の問題についてはよく理解していると思います。

だから、もしXSSについてわからないままWEBアプリを書いて公開するとしても*1、かなりビクビクして公開するし、こまめに自分のサイトをチェックするでしょう。趣味と仕事の境界線ではよく考え直すでしょう。

そういう「WEB特有の問題」を理解している人だけを対象にして言うのであれば、私もこの意見に賛成です。というか、この意見を書く時に匿名を選択した理由について触れていたらもっとよかったと思います。特に明確な理由はないかもしれないけど、どこかに「万が一」という部分があると思います。

その「万が一」という発想ができるかできないかが問題のポイントだと私は考えています。それさえあれば、セキュリティは絶対的な規準ではなくて、コストとか「楽しさ」とか、他のいろいろな価値との関係で相対的に考えるべきものになると私は考えます。

その発想が全く無い人だけが私のエントリを読んでくれて、そこがわかっている人だけが増田君のエントリを読んでくれたら一番いいのですが、えてして逆になってしまうんですよね。

関連記事: 増殖を想像する力 - アンカテ(Uncategorizable Blog)