zunbe

2005/10/11

このエピソードの続き。

　若いモンの発想はわからん(20)

作ろうとしていたものは、こういう画像。

Yahoo! や goo などで、IDを新規に登録するときに表示される画像である。
こういった用途に使用する事を前提に作成する様に指示しておいたのだが、出てきたプログラムはこうだ。

　・CreateImage() を呼び出すと、画像を生成して標準出力に出力する。

まったくダメである。
どこがダメだかわかるだろうか。

当然の事であるが、利用者は画像に表示されている文字をテキストボックスに入力して、送信の操作を行う。
呼び出されたプログラムでは、何らかの方法で画像の元になった文字列（上記の図では、「12020」「30918」）が取り出せるようになっていなければならない。
そうでなければ、ユーザがテキストボックスに入力した文字列と比較できない。

当然のことながら、Yahoo! であれ goo であれ、表示されている画像とは別に、セッション情報がHTML中に埋め込まれている。
つまり、<IMG>による画像の出力と<INPUT TYPE="HIDDEN"> によるセッションIDの出力は、必ずセットで出力される事になる。

社員が作成したプログラムの様な、標準出力に画像が出力されるプログラムでは、この様な事はできない。
画像を取り出すためには、以下の様に記述するしか方法がない。

　<IMG SRC="createimage.cgi">

画像は生成され出力されるであろうが、どのような文字列から作成された画像であるのかをプログラムが知る術はない。
どうやっても認証を行う様に構成する事はできないのである。

最低限、以下の様な動作が実装されていなければ、WEBのシステムで使用することはできない。

　(1).画像を生成してディスクに保存する。
　(2).セッション情報を生成してディスクに保存する。
　(3).セッションIDを生成して、プログラムに渡せるようにする。

作成したモジュールを使用して認証を行うページを作成すれば、画像を標準出力に出力するという方法では、目的を達せられない事は一発でわかるはずである。
それに気付かないという事は、社員は、画像を生成するプログラムを作っただけで、実際にそれを使用したページを作っていない事を意味している。

困ったものである。

このエピソードはいかがでしたか？

投稿者 zunbe : 2005/10/11 10:46:55