⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
注文番号が推測可能なんてのは全く問題ではないのだよ。そんなものは連番だって構わない。問題はユーザのアクセス権限の制御ができていないこと。ものすごい基本で難しくない事なのに、なんでこんな制御すらできていないのだろう…。
テストしてないのか、テストケースが「正しく表示される事を確認する」とかふざけた内容だったりするんだろうか。「ユーザが自分の注文を閲覧できる」というテストはあっても、「他のユーザの注文は閲覧できない」というテストをしてないとか…
内製で作ったそうだけど、経験値ゼロのプログラマ、エンジニアばかり集めたのか、あまりにプロジェクトがgdgdすぎてチームが無責任体質になってしまったのだろうか。
内製の価値って?
システムを作り続けていかなければならないわれわれにとって、社内でシステムを作る体制を整えた方が業務効率の向上に結びつきます。内製化を進めているのはそのためです。現在インフラの構築からソフトウェアの開発まで、ECサイトを運営するのに必要な工程を20〜30人のエンジニアで運営し、約99%のシステムを内製化しています。
すべてのシステムを外注する場合に比べて、10分の1程度のコストで運用できます。外注を挟まないため、営業や管理部門に掛かる種々の費用の削減にも貢献しています。
内製すべき理由って、効率とかコストの削減じゃないと思うんだよね。その発想はマイナスをいかに減らすかというもの。内製のメリットはプラスをいかに伸ばせるかという点にあるんじゃないかな。
つまり、開発チームを社内に持つ事でシステム部門と売り上げ部門を同居させて、変化するビジネスに柔軟に対応可能な体制を作り上げる事だ。そこではビジネスにおける課題をいかに解決するかという点をシステムの第一の目的とすべきで、効率化とかコスト削減なんかが目的であるべきじゃないと思う。
察するにコストカットだけが目的になって、プロジェクトが迷走してしまったのではないかと思う。まあせっかくの内製プロジェクトなので、懲りずにがんばって欲しいね。
さらに追記
⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゚Д゚)つFull Auto | セブンアンドワイ、今度はソースコードを流出させる。
実際に「止めた方がいい。被害拡大するよ」ってメールしてみたら「個人情報の漏洩はございません」「安全性を強化いたしました」って言われた。奇しくも親切に教えてもまともに取り合わないという実例を示せたなw
俺、大企業って、大企業なりの仕事してるもんだと思ってたわ。
大企業なりの仕事だと思いますよ、大企業病とかそういう言葉で表現されるおもいっきり悪い意味での。
>
ちなみに、みれたソースの多くに
# 著作権: # Copyright(C) 2001 by e-Shopping! Books CORP. # Copyright(C) 2001 by e-Commerce Technology CORP. # Nihonbashi Hakozaki Bldg. # 24-1, Nihonbashi-Hakozakicho, Chuo-ku, Tokyo 103-0015 JAPAN # All rights reserved.が入ってる。まあ、見れたのはほんの一部だろうけど。
ほんとなら、そのままe-Commerce Technology CORP.が運用・管理・保守してればいいものを、作り直しもせずに内製(?)にしたんじゃないの?
ないせい???