アカウント名:
パスワード:
なんか、全文突っ込み甲斐のある文章だな。例えば、安全性の指摘に、匿名であるか否かが何の意味を持つのか。Office ではなく、田中一郎という名前を名乗っていれば問題ないのか。それともパスポートのコピーでも送ってもらわないと受け付けないのか。とか。他にもあるけど、めんどく
書き方一つで(略)印象や対応がまったく異なるであろうことには、同意いただけるのではないですか?
まったくその通りで同意します。始めから #489056 ような文章を書いていただければ受ける印象はまったく違ったことでしょう。
最後に一つ言っておくと、ここを読んでいる大多数の人間は Office 氏からのメールを受け取ったことがあるわけではないということだ。したがって、彼がどのようなメールを書いていたのかは読者にはまったくわからない。わかることは感
XSS の指摘のメールが来た。かなり失礼なやつ。対応を間違えれば我が社に大問題。こんなやつに対応するのは現場担当には酷。プロでも当初 XSS は見落とし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
office氏の指摘って… (スコア:1, すばらしい洞察)
あるところならばむしろoffice氏の指摘は結構役に立つと
思うのですけど…私の認識は甘いののですかね?
# 近くに本当に役に立った人がいるのでAC
Re:office氏の指摘って… (スコア:3, 興味深い)
からメールで指摘が来たことがあります。
指摘そのものは、役には立ちましたが(苦笑)、かなり失礼というか、「御社
のサイトに脆弱性があったことや、その対応を○月○日に、公表させていた
だきます」と、脅迫紛いの文面に、内心ブチ切れながら、丁寧なお礼の返事を
書いたことがあります(当然、問題点を即座に直してから)。
はっきり言って、office氏の対応次第では、一歩間違えば会社に多大の損害
を与えかねないですし、返答しないのは返答しないのでマズいことが予想され、
返答をするにも、下手なことは書
Re:office氏の指摘って… (スコア:0)
なんか、全文突っ込み甲斐のある文章だな。例えば、安全性の指摘に、匿名であるか否かが何の意味を持つのか。Office ではなく、田中一郎という名前を名乗っていれば問題ないのか。それともパスポートのコピーでも送ってもらわないと受け付けないのか。とか。他にもあるけど、めんどく
Re:office氏の指摘って… (スコア:1)
> と言えるだけの資格があるか疑問を感じる。
それは、言いすぎだった。その点は素直に認めます。
> それともパスポートのコピーでも送ってもらわないと受け付けないのか
だれもそんなことは言っていません。実際指摘は受付けたし、対応もしたわけです。
まぁ、あなたにしてみればツッコミどころ満載なのでしょうが、Office氏のメールも、書き方一つで指摘を受ける側の印象や対応がまったく異なるであろうことには、同意いただけるのではないですか?
ACCSでの個人情報漏洩は、非難されてしかるべきだが、彼は、おそらく彼自身として正義を貫きたくて、ああいうことをしてきたのだろうし、だからこそ、セキュリティホールを放置しているサイトが許せないんだろうな、ということも想像はできます。だったら、もうちょっと指摘を受ける側の気持にたって行動していれば、感謝されこそすれ、今回のように逮捕されるようなことはなかったんじゃないかな、と思うと残念なわけですよ。
XSSの問題で常に気になっているのは、それを問題として騒いでいる多くの人々が、XSSによってどのようなケースで、どの程度のセキュリティ上のインパクトがあるのか、正確に理解しているのかという点です。少なくともOffice氏は、当然理解されておられたようでしたが、私が彼から指摘を受けたサイトでは、Cookieを利用してはおらず、Cookieに含まれる情報の取得やセッションハイジャックなどの危険もなく、XSSが原因で利用者の個人情報に危険が及ぶことなどはないため、残念ながら優先度が低いと判断せざるをえず、彼からの指摘の少し前に判明はしていたのですが、すぐには対応できなかったのが現実でした。彼から対応状況を一般公開する〆切を設定されたことで、一気に最優先案件になったわけなのです。
彼が、単純に、こういう問題がありますよ。と指摘してくれただけで、○月○日に対応状況を公開する、といったことを言わなければ、「ありがとう、こういう事情で、対応が遅れているんだが、なんとか早く対応するよ」と言って、良好な関係が築けたはずなんですけどね。実際、彼はそのサイトでのXSSのインパクトは低く、緊急性は高くないことは理解してくれましたから。
Re:office氏の指摘って… (スコア:0)
まったくその通りで同意します。始めから #489056 ような文章を書いていただければ受ける印象はまったく違ったことでしょう。
最後に一つ言っておくと、ここを読んでいる大多数の人間は Office 氏からのメールを受け取ったことがあるわけではないということだ。したがって、彼がどのようなメールを書いていたのかは読者にはまったくわからない。わかることは感
Re:office氏の指摘って… (スコア:1)
その点、多いに反省です。
アドバイス感謝いたします。
Re:office氏の指摘って… (スコア:0)
そうですね。
MLやサイトの文面見てれば、受け取らなくてもわかりますしね。
>感情的になって彼を糾弾しているやつらがいるという事実
あなたが感情的になってどう
Re:office氏の指摘って… (スコア:0)
大多数の人間は、どこの ML やサイトか知らないけど、それら ML やサイトの文面を見ていて十分理解してここを見ていると仮定できる、と言うことですか?
>自分の意に沿わないので不満ですか?
意に沿わないというより、#488854 は表に出す文章としては変だと思いました。日記に書くならともかくとして。#488854 と #489056 を簡単にまとめるとこうなると思いますがいかが?
Re:office氏の指摘って… (スコア:0)
一次情報に近いものがあります。誰がどれを書いたのかは判然としませんが、雰囲気はわかる。
つまらない揚げ足をと
Re:office氏の指摘って… (スコア:0)
ただし、この種の情報は、主題提供者が自分の言の正当性を補強するために自ら提示するものだと思いますがいかがでしょう?