アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
ほうほう、なるほど。つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。攻撃されたというのに不思議なことですね(笑)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re: (スコア:2)
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
このコンテキストで「攻撃」は穴を使うこと自体でしょ。それこそXSS問題なら当然いえる前提あるいは推定可能事項。
それを使ってくるアクセスがあるかをサイト側が監視してたら、当人が引っかかったって話だろう。
監視している側からすれば本当に悪用しようとしているアクセスに対するノイズになるし少なくとも有害でしかない。
あなたの「攻撃」の定義が技術的に影響を及ぼす直接的な対象のみに限っているのだろうけど、
文の言わんとするところも読めず言葉じりをとらえて「明らかなウソ」とは、こりゃまた幼稚で尊大だなぁと思う次第。
Re:確認してみた (スコア:2)
ほうほう、なるほど。
つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。
攻撃されたというのに不思議なことですね(笑)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される