教訓はなぜ生かされなかったのか | 日経 xTECH（クロステック）
を読んで思い出した。
SQLInjection、XSSとかのテクニカルエラーは明らかに瑕疵担保責任の範囲内。
セキュリティを考慮しない場合でも、SQLを扱う際に'を入れればエラーになる、HTMLにタグが入れば表示が崩れるなどの明らかなバグに繋がるから。
逆に明らかなバグに繋がることのないセッション周りのロジックエラーは瑕疵担保責任の範囲内に含まれるとは言い切れない。という考察をしてたんだ。
今のところ頭の中はすきっりしているけれど、例外があるかどうか調べるのを忘れてた。
ちゃんとまとめて、教えてくれた偉い人に報告しないと。