Думаю, что описанное в статье, в большей степени следствие отсутствия в России культуры управления проектами и IT-культуры в целом.
Многие считают, что производство программ и развертывание/обслуживание IT-инфраструктуры - это деятельность, немногим более сложная, чем традиционный постперестроечный "купи-продай".
О том, что это процесс, требующий технологий, как и любая другая инженерная деятельность, догадываются немногие.
Главный аргумент таких менеджеров - "И так все работает!", утрачивает свою силу лишь со временем, когда становится понятно - как оно на самом деле работает :)
Думаю, тут просто нужно время, чтобы большинство набило шишки и начало читать книжки.
Согласен с тем, что на это нужно обращать внимание сообщества. Думаю, это привычка людей которые создавая stand-alone приложения, могут полностью контролировать ввод на уровене интерфейса. Это тоже часто создает узязвимости, но не так и не такие на вебе.
Лично у меня есть свой элемент архитектуры - при получении данных свой accert(), который в случает чего генерит throw.
Использую его всегда, поэтому мне кажется такой подход очевидным :)
На самом деле, это совершенно тривиальная вещь, которую лично я пишу в ТЗ на автомате. Думаю, что это просто стереотип недавно начавших писать под веб: кажется, что юзер передает нам _переменную_. А на самом деле он передает грязные данные, из которых нам уже нужно получить переменные для дальнейшей работы. Многие просто получая готовый массив/хеш и т.д. из http-запроса забывают про этот момент.
Нужно определить сразу, еще на этапе проектирования, например, что quantity - это натуральное число (не более чем максимальное значение поля в базе - например, int в диапазоне 1..65536). У строк - свои ограничения (по длине, по регэкспу и т.д.).
После чего делать некий метод/функцию/свойство, которое проверяет данные, и в случае несоответствия генерит ошибку.
И не нужно пытаться угадывать что хотел ввести юзер - ни к чему хорошему это не приведет.
О чем речь-то?
Об очередных судорогах Томлайна?
Так это не впервой - они постоянно с кем-то ведут войны.
Томика, Сибирьтелеком (не смотря на свою мечту сделать трафик платным :), Cтек, Томтел и ряд контор поменьше спокойно живут на местном IX на обл.стате. Никаких ограничений по доступу туда нет. Нужно наличие лицензии и кабеля - вот и все.
Если какая-то из контор начинает терять абонентов, сценарий всегда один и тот же - "покупайте внешку только у нас", "местный трафик должнен быть платным", "разрываем пиринг с конкурентами (пусть им будет хуже)".
Обычно это приводит к тому, что место такой компании занимают те самые конкуренты. Можно вспомнить Атриум, например. Чем все закончилось - известно.
У Томлайна уходят клиенты, растут долги, из просторного офиса на Фрунзе пришлось съехать в пятиэтажку неподалеку. Ну и началась старая песня.
Никакой пиринг не рушится. Наезд Томлайна привел к тому, что домовые сети моментально подключились к Томтелу и Томике. Разрыв пиринга привел к проблемам исключительно тех, кто его иницировал. Вот и все.
Многие считают, что производство программ и развертывание/обслуживание IT-инфраструктуры - это деятельность, немногим более сложная, чем традиционный постперестроечный "купи-продай".
О том, что это процесс, требующий технологий, как и любая другая инженерная деятельность, догадываются немногие.
Главный аргумент таких менеджеров - "И так все работает!", утрачивает свою силу лишь со временем, когда становится понятно - как оно на самом деле работает :)
Думаю, тут просто нужно время, чтобы большинство набило шишки и начало читать книжки.
Лично у меня есть свой элемент архитектуры - при получении данных свой accert(), который в случает чего генерит throw.
Использую его всегда, поэтому мне кажется такой подход очевидным :)
Нужно определить сразу, еще на этапе проектирования, например, что quantity - это натуральное число (не более чем максимальное значение поля в базе - например, int в диапазоне 1..65536). У строк - свои ограничения (по длине, по регэкспу и т.д.).
После чего делать некий метод/функцию/свойство, которое проверяет данные, и в случае несоответствия генерит ошибку.
И не нужно пытаться угадывать что хотел ввести юзер - ни к чему хорошему это не приведет.
Об очередных судорогах Томлайна?
Так это не впервой - они постоянно с кем-то ведут войны.
Томика, Сибирьтелеком (не смотря на свою мечту сделать трафик платным :), Cтек, Томтел и ряд контор поменьше спокойно живут на местном IX на обл.стате. Никаких ограничений по доступу туда нет. Нужно наличие лицензии и кабеля - вот и все.
Если какая-то из контор начинает терять абонентов, сценарий всегда один и тот же - "покупайте внешку только у нас", "местный трафик должнен быть платным", "разрываем пиринг с конкурентами (пусть им будет хуже)".
Обычно это приводит к тому, что место такой компании занимают те самые конкуренты. Можно вспомнить Атриум, например. Чем все закончилось - известно.
У Томлайна уходят клиенты, растут долги, из просторного офиса на Фрунзе пришлось съехать в пятиэтажку неподалеку. Ну и началась старая песня.
Никакой пиринг не рушится. Наезд Томлайна привел к тому, что домовые сети моментально подключились к Томтелу и Томике. Разрыв пиринга привел к проблемам исключительно тех, кто его иницировал. Вот и все.