パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

大規模接種センターの予約システム、予約番号も地域も関係なく誰でも予約が可能な欠陥」記事へのコメント

  • 「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」
    運用でカバー!
    https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp]
    からの

    「対応可能な範囲で改修を検討」

    そして

    岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」
    https://twitter.com/ [twitter.com]

    • Re: (スコア:2, すばらしい洞察)

      by Anonymous Coward

      最初に防衛省に問い合わせて許可もらってから記事にするでしょ
      こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ

      • by Anonymous Coward on 2021年05月18日 13時40分 (#4033488)

        許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。
        ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。
        今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。
        今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。
        とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。

        そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。
        政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。

        問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。

        親コメント
        • by Anonymous Coward

          > 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた

          ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……
          https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]

        • by Anonymous Coward

          そうですよね

          このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますが
          ITシステムセキュリティの観点から見れば信じ難い愚行です
          もしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します

          そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね

        • by Anonymous Coward

          一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、
          今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。

          • by Anonymous Coward

            まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。
            対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。

にわかな奴ほど語りたがる -- あるハッカー

処理中...