アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。
ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
ほうほう、なるほど。つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。攻撃されたというのに不思議なことですね(笑)
氏の追記から察するに「ベネッセが大タコ」「ISPもタコ」だったみたいですね。ベネッセは「攻撃」されていたが、氏ではない誰かが真犯人で、第三者の口添えで誤解が解けた模様。本件で最も気懸かりなのは、ISPにどういう要求をしたら誤認逮捕…じゃなく誤認接続停止するかですね。
絶対ACとか言いつつ書いたらツッコミされまくって悔しかったのはわかるけど>文の言わんとするところも読めずと言うのはまともな内容の文章を書いてから言って下さいね
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。その上で「明らかな嘘」かどうかは保留かなーと思っています。Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということでご提示の「第二」についてログが残る何かをされていたのかな、と予想。「攻撃し続け」と認識してた話とも合致しますし。XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re:確認してみた (スコア:2)
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。
というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。
ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。
それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。
監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。
あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、
文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
Re:確認してみた (スコア:2)
ほうほう、なるほど。
つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。
攻撃されたというのに不思議なことですね(笑)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:確認してみた (スコア:2)
その場合、「ベネッセが大タコ」「ISPもタコ」ついでに「元コメ者もそんなことにも気づかない小タコ」
になるだけですので
「元コメがウソ」だけですむソリッドファイターの人の解釈はむしろ人への信頼と優しさに溢れていると思います。
Re: (スコア:0)
氏の追記から察するに「ベネッセが大タコ」「ISPもタコ」だったみたいですね。
ベネッセは「攻撃」されていたが、氏ではない誰かが真犯人で、第三者の口添えで誤解が解けた模様。
本件で最も気懸かりなのは、ISPにどういう要求をしたら誤認逮捕…じゃなく誤認接続停止するかですね。
Re: (スコア:0)
絶対ACとか言いつつ書いたらツッコミされまくって悔しかったのはわかるけど
>文の言わんとするところも読めず
と言うのはまともな内容の文章を書いてから言って下さいね
Re: (スコア:0)
指摘とわかりやすい解説ありがとうございます。(#2458893 様も。)私はWeb方面は門外漢なので助かります。
その上で「明らかな嘘」かどうかは保留かなーと思っています。
Kinugawa氏が経過を書いてくれていて「僕のアクセスであることが確認できた」ということで
ご提示の「第二」についてログが残る何かをされていたのかな、と予想。
「攻撃し続け」と認識してた話とも合致しますし。
XSS以外が問題だった可能性も。(調べてないので適当な予想ですよ)
私も外野ですし解消方向ということでウォッチしてませんでした。回答おそくてすみませんでした。
以下、ほかのレスへの反応です。