アカウント名:
パスワード:
はまちやの人って、本当に親切だよね……
いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。
親切とは……神経を疑うな。
まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
過去に10回強、諸々のサービスでCSRFを見つけたことがあります。
それに関して、運営者に届けても反応がないこともちらほら。 場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。
運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。
もちろん、即座に対処してくれるサービスもありましたけどね。
「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
>「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。
そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
何のために? 何のためのセキュリティなの?
被害を出さないためのセキュリティなんじゃないの? 目的と手段を取り違えていませんか?
>被害を出さないためのセキュリティなんじゃないの?>目的と手段を取り違えていませんか?
「こんにちはこんにちは」って書かれることによって誰がどのような被害を被ったのか、説明していただけませんか?
実際に該当のURLをクリックしてしまった一般のユーザーの方ではないでしょうか?データ流出等の実害が無かったのであれば、法的な被害者にはなりえないのかもしれませんが、データが流出してしまったのではないか、パスワードを盗まれたのではないか、等々の不安に晒されたのではないでしょうか?
>誰がどのような被害を被ったのか、説明していただけませんか?あめーばなうの中の人が、ろくにWebコンテンツを管理できる能力がないことがばれてしまった。
もっとも、ばれたからと言って大多数が回避しないようなので、実際の被害は無いに等しいだろうけど。
目に見えない脅威よりも、目に見える不快感を嫌うってこと?臭いものには蓋をしろ、ですね!わかります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
いつも思うけど (スコア:4, すばらしい洞察)
はまちやの人って、本当に親切だよね……
いや、もしかしたらもっと致命的な不具合は見つけても隠し持ってるのかもしれないけど。
Re: (スコア:4, すばらしい洞察)
親切とは……神経を疑うな。
まぁ「場」を区別してコミュニケーションすることが困難な人の基準では親切なのかもしれないが、
IPAの脆弱性届出窓口、各サービスの運営責任者に連絡するべきで、はまちやの行動はただの愉快犯。
Re: (スコア:4, 参考になる)
過去に10回強、諸々のサービスでCSRFを見つけたことがあります。
それに関して、運営者に届けても反応がないこともちらほら。
場所によっては無言でアカウント削除されたりしました。自分のアカウント使ってCSRF試してみただけなので(そこの)規約には違反してなかったんですが。
運営者が反応無いからとIPAに届けるのも、結構時間かかります。私のようにプロでもない人間でも見つけてしまうような脆弱性だから、見つけて悪用する人も出るのでは、と危惧しながらも、通報した後、何もできないままやきもきするのは、あまり良い気分ではないわけです。
もちろん、即座に対処してくれるサービスもありましたけどね。
「はまちや」さんがそういう経験をしたのかどうかは判りませんが、もし私と似たような経験をしたのであれば、「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
Re: (スコア:0)
>「通報するのも面倒だから、実害があまりない範囲で、脆弱性をついた攻撃をすることで世に知らしめる」という思考パターンになってしまうのも理解はできます。賛同はしませんが。
僕は賛成しますね。わざわざ危険性があると報告したのにアカウント削除されたり、無視されたりしたら運営側の程度がしれる。
そんなサービスではもっと被害の出る方法でもって「世に知らしめる」、いや「晒し上げる」べきです。
あらゆる危険性が残ったまま腐ったサービスを運営し、指摘されたら修正するのが面倒なのか、対応するのが面倒なのかは知りませんが、
指摘されたことをなかったことにしたり、指摘したユーザのアカウントを削除する腐ったサービスは即刻滅びればいいです。
Re: (スコア:0)
何のために?
何のためのセキュリティなの?
被害を出さないためのセキュリティなんじゃないの?
目的と手段を取り違えていませんか?
Re:いつも思うけど (スコア:2)
>被害を出さないためのセキュリティなんじゃないの?
>目的と手段を取り違えていませんか?
「こんにちはこんにちは」って書かれることによって誰がどのような被害を被ったのか、説明していただけませんか?
Re: (スコア:0)
実際に該当のURLをクリックしてしまった一般のユーザーの方ではないでしょうか?
データ流出等の実害が無かったのであれば、法的な被害者にはなりえないのかもしれませんが、
データが流出してしまったのではないか、パスワードを盗まれたのではないか、等々の不安に晒されたのではないでしょうか?
Re: (スコア:0)
>誰がどのような被害を被ったのか、説明していただけませんか?
あめーばなうの中の人が、ろくにWebコンテンツを管理できる能力がないことがばれてしまった。
もっとも、ばれたからと言って大多数が回避しないようなので、実際の被害は無いに等しいだろ
うけど。
Re: (スコア:0)
目に見えない脅威よりも、目に見える不快感を嫌うってこと?
臭いものには蓋をしろ、ですね!わかります。
Re: (スコア:0)
当然、目に見えない脅威も、目に見える不快感も、両方嫌うってことでしょ。
もしかして論理的思考ができない人?