アカウント名:
パスワード:
はまちやの人って、本当に親切だよね……
いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。
親切とは……神経を疑うな。
まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
過去に10回強、諸々のサービスでCSRFを見つけたことがあります。
それに関して、運営者に届けても反応がないこともちらほら。 場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。
運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。
もちろん、即座に対処してくれるサービスもありましたけどね。
「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
>「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。
そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
何のために? 何のためのセキュリティなの?
被害を出さないためのセキュリティなんじゃないの? 目的と手段を取り違えていませんか?
>被害を出さないためのセキュリティなんじゃないの?>目的と手段を取り違えていませんか?
「こんにちはこんにちは」って書かれることによって誰がどのような被害を被ったのか、説明していただけませんか?
実際に該当のURLをクリックしてしまった一般のユーザーの方ではないでしょうか?データ流出等の実害が無かったのであれば、法的な被害者にはなりえないのかもしれませんが、データが流出してしまったのではないか、パスワードを盗まれたのではないか、等々の不安に晒されたのではないでしょうか?
>誰がどのような被害を被ったのか、説明していただけませんか?あめーばなうの中の人が、ろくにWebコンテンツを管理できる能力がないことがばれてしまった。
もっとも、ばれたからと言って大多数が回避しないようなので、実際の被害は無いに等しいだろうけど。
目に見えない脅威よりも、目に見える不快感を嫌うってこと?臭いものには蓋をしろ、ですね!わかります。
対応速度や対応してもらえた割合がIPAへの届け出と比較してどのくらいなのかが気になりますね。はまちや2さんの指摘ではほぼ100%の頻度で対応されてそうなイメージがありますが、実際どうなんでしょう?IPAは地味にスルーされることもある [nikkeibp.co.jp]というイメージ。あくまでイメージですが。
個人的には、サイバーノーガード戦法で居直られるよりは対応された方が利用者にとっては親切だと思います。
ところで、今回のスクリプト(?)ってはまちや2さんが作成したってソースありましたっけ?
>>IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
はまちやさんはIPAに報告してもなかなか本気にしてくれなかった過去を経て今に至ってますからね。彼にとってはIPA自体信用に欠ける機関なんじゃないかな。IPAたんからへんじこない [hatena.ne.jp]# まぁこれで信用してくれってっていうのも・・・って文体の通報ですけど。
存在も行動も動機も悪だ
となれば、私は
「じゃあ、はまちやが悪さできないようにセキュリティを高めようぜ」
よりも先に「はまちやを懲らしめなければ」と思います。誰しも、痛い目に合わなければ反省したり、自粛したりしないのが普通ですから。
CSRF処理を受け付けるようにコンピュータを構成しておきながら実際にやってみた奴を犯罪者扱いする開き直り運営厨うぜぇ
現代のねずみ小僧。
でもね泥棒は泥棒。
モヤイ泥棒に聞かせてあげたい言葉ですな
あの件、渋谷署に訴えたら受理してくるのかな?それともその種の許可みたいなの申請済み?
#自作自演とはちょっと違うし
> IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべき
その「べき」が本当に正しいかどうかって話でしょうはまちやは愉快犯じゃなくて確信犯だと思いますよ
私も、連絡したが黙殺に近い対応を取られたこともありますしはまちやの様な輩が出てくる土壌の方にも問題があると思いますね
http://d.hatena.ne.jp/Hamachiya2/20070203/ipa4 [hatena.ne.jp]少なくとも、過去にはIPAに報告してるので・今回も報告はしている(が、反応が無かったので行動に出た)・このときの反応にがっかりして報告をやめたのどちらかじゃないですかね。後者だとは思いますけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
いつも思うけど (スコア:4, すばらしい洞察)
はまちやの人って、本当に親切だよね……
いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。
Re:いつも思うけど (スコア:4, すばらしい洞察)
親切とは……神経を疑うな。
まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、
IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
Re:いつも思うけど (スコア:4, 参考になる)
過去に10回強、諸々のサービスでCSRFを見つけたことがあります。
それに関して、運営者に届けても反応がないこともちらほら。
場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。
運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。
もちろん、即座に対処してくれるサービスもありましたけどね。
「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
Re: (スコア:0)
>「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。
そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、
指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。
Re: (スコア:0)
何のために?
何のためのセキュリティなの?
被害を出さないためのセキュリティなんじゃないの?
目的と手段を取り違えていませんか?
Re:いつも思うけど (スコア:2)
>被害を出さないためのセキュリティなんじゃないの?
>目的と手段を取り違えていませんか?
「こんにちはこんにちは」って書かれることによって誰がどのような被害を被ったのか、説明していただけませんか?
Re: (スコア:0)
実際に該当のURLをクリックしてしまった一般のユーザーの方ではないでしょうか?
データ流出等の実害が無かったのであれば、法的な被害者にはなりえないのかもしれませんが、
データが流出してしまったのではないか、パスワードを盗まれたのではないか、等々の不安に晒されたのではないでしょうか?
Re: (スコア:0)
>誰がどのような被害を被ったのか、説明していただけませんか?
あめーばなうの中の人が、ろくにWebコンテンツを管理できる能力がないことがばれてしまった。
もっとも、ばれたからと言って大多数が回避しないようなので、実際の被害は無いに等しいだろ
うけど。
Re: (スコア:0)
目に見えない脅威よりも、目に見える不快感を嫌うってこと?
臭いものには蓋をしろ、ですね!わかります。
Re: (スコア:0)
当然、目に見えない脅威も、目に見える不快感も、両方嫌うってことでしょ。
もしかして論理的思考ができない人?
Re:いつも思うけど (スコア:2, 興味深い)
対応速度や対応してもらえた割合がIPAへの届け出と比較してどのくらいなのかが気になりますね。
はまちや2さんの指摘ではほぼ100%の頻度で対応されてそうなイメージがありますが、実際どうなんでしょう?
IPAは地味にスルーされることもある [nikkeibp.co.jp]というイメージ。
あくまでイメージですが。
個人的には、サイバーノーガード戦法で居直られるよりは対応された方が利用者にとっては親切だと思います。
ところで、今回のスクリプト(?)ってはまちや2さんが作成したってソースありましたっけ?
◆IZUMI162i6 [mailto]
Re: (スコア:0)
あそこは高慢な役人もどきのいるとこ。
名前がどうのだの手続き的な問題ばかり言って、結局まともに取り合わないことがある。
JPCERT/CC [jpcert.or.jp]に知らせる方が100倍はマシ。
KYですね。分かります。 (スコア:1, すばらしい洞察)
本当に仰る通り、区別って大事です。
脇が甘いといたずらされちゃう「場」である事を理解できずに、
いたずらされて本気で怒る人って稀にいますよねぇ。
KYじゃないですけど、新規参入の人達は、
もともと存在する文化に少しは配慮して欲しいと思います。
面白半分にいじられるのがそんなに嫌なら、NTTかどこかと組んで、
全くいたずらを許さない商用専用のインターネットを作ればいいのに。
# 無論、サイバーエージェントがそうだとは思ってません。
# むしろ、そーゆー「場」を理解してのネーミングなんだろうし、
Re:いつも思うけど (スコア:1, 参考になる)
>>IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
はまちやさんはIPAに報告してもなかなか本気にしてくれなかった過去を経て今に至ってますからね。
彼にとってはIPA自体信用に欠ける機関なんじゃないかな。
IPAたんからへんじこない [hatena.ne.jp]
# まぁこれで信用してくれってっていうのも・・・って文体の通報ですけど。
Re:いつも思うけど (スコア:1)
Re:いつも思うけど (スコア:1)
存在も行動も動機も悪だ
となれば、私は
「じゃあ、はまちやが悪さできないようにセキュリティを高めようぜ」
よりも先に「はまちやを懲らしめなければ」と思います。誰しも、痛い目に合わなければ反省したり、自粛したりしないのが普通ですから。
Re:いつも思うけど (感情論: -2) (スコア:2)
CSRF処理を受け付けるようにコンピュータを構成しておきながら実際にやってみた奴を犯罪者扱いする開き直り運営厨うぜぇ
Re: (スコア:0)
脆弱性を見つけるのがはまちやだけではない以上、悪用目的で探すやつってのも当然いるわけですし、
より悪い奴がいてしかも運営側が脆弱性の存在に気づいてなかったりすると目も当てられない・・・
じゃあ、そいつも懲らしめてやれとか言う話になってくると次から次へでキリがなくなってくるという。
コスト的にははまちやは「一応」無料なわけですし、今のところは共存がベストだと思いますよ。
ま、この話は単なる可能性に過ぎないんですが。
#一応というのは脆弱性が公にされることのコストは無料ではないという意味で深い意味はありません。
うまい事言ってやろうか (スコア:0)
現代のねずみ小僧。
でもね泥棒は泥棒。
Re:うまい事言ってやろうか (スコア:1)
Re: (スコア:0)
モヤイ泥棒に聞かせてあげたい言葉ですな
Re:うまい事言ってやろうか(オフトピ) (スコア:2)
あの件、渋谷署に訴えたら受理してくるのかな?
それともその種の許可みたいなの申請済み?
#自作自演とはちょっと違うし
Re: (スコア:0)
> IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべき
その「べき」が本当に正しいかどうかって話でしょう
はまちやは愉快犯じゃなくて確信犯だと思いますよ
私も、連絡したが黙殺に近い対応を取られたこともありますし
はまちやの様な輩が出てくる土壌の方にも問題があると思いますね
Re: (スコア:0)
まったく役に立たない無意味なことだろうに。
Re: (スコア:0)
http://d.hatena.ne.jp/Hamachiya2/20070203/ipa4 [hatena.ne.jp]
少なくとも、過去にはIPAに報告してるので
・今回も報告はしている(が、反応が無かったので行動に出た)
・このときの反応にがっかりして報告をやめた
のどちらかじゃないですかね。後者だとは思いますけど。
Re: (スコア:0)
・報告しなくてよい言い訳を得るため、あえて拒絶されるような報告をした。
・案の定、「拒絶されたので報告しないでいるんだよ」と擁護してくれる信者を獲得できた。