アカウント名:
パスワード:
せめて、アタックする前にきちんと文書で契約を結ぶって必要があるのでは?
セキュリティチェックの為だと言っていても、内部情報にアクセス出来るかも知れない事を許可するのは、口約束で納得して良い物ではないと思うのですが。 実際、その試験の結果として自分の顧客に損害があれば、そりゃそのままでは試験をした人間に損害賠償請求をするでしょうから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
窓口を作る (スコア:1)
→「2/22 14:00より 111.222.333.444 というIPからXSSの脆弱性を見つけるためのアタックしますのでよろしく」
とか事前に記録に残せるような。
←「その日は担当者が不在で対応が遅れますので別の日にしてください」
とかやりとりができれば双方が幸せじゃない?
Re:窓口を作る (スコア:1)
最近の風潮を見ると、いつでもこの返答になる気がするんだけど。
ニュースとかでも良くあるじゃん
「担当者が不在の為、コメントできません」
とかさ:-P
Re:窓口を作る (スコア:0)
Re:窓口を作る (スコア:0)
毎日、いや、毎時同じ回答ですが何か?
# 「誰も担当していない」場合も「不在扱い」らしいよ。(^^;
Re:窓口を作る (スコア:1)
信頼関係が無い場合(ってこの例の場合常時の気もするが)、
『不在』の日が確定するまで予告しつづけ、不在の日のみアタックするクラッカー
→あえて『不在』と伝え、罠を仕掛ける企業
→あえて予告をしてない日を選ぶクラッカー
……などと化かし合いになるだけのような(^^;
Re:窓口を作る (スコア:0)
脆弱性を見つける為じゃなく、遊びたいだけの趣味のアタックを
正当化されてもねぇ‥。
「DDOS攻撃によるチェックを行います。期間は1箇月」なんてのも
そのうち出てくるに一票。
#善意だけとは限らないのです。
Re:窓口を作る (スコア:1)
脆弱性が見つかったときだけ通知する(こともある)という形だけれど
それだといい感情を持たない管理者の人がいるのも無理はありません。
# 最悪、アラート鳴りっぱなしで事後報告なしとか。
では今からアタックをかけようとする人が礼儀として前もって挨拶をするにしても
そういう連絡をとる手段がないのではないか、という話です。
いくら指摘が正しくても、失礼な人と一度思ってしまうとおつきあいを続ける気にはなりませんね。
んー、悪戯の格好の的かな。
脆弱性を探す人は、何も見つからなければそれでいいのかな。
脆弱性調査 (スコア:1)
>脆弱性が見つかったときだけ通知する(こともある)という形だけれど
>それだといい感情を持たない管理者の人がいるのも無理はありません。
逆に、何月何日に実施しますと宣言しておいて、ソーシャルだけを実施するというのも、コンサル側としては、リスクが少なくていいかもしれない。
# 人の穴、虎の穴
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:窓口を作る (スコア:1)
んで、思わぬバグでサービスが落ちれば当然損害賠償請求が来ると思うのですがねぇ。
せめて、アタックする前にきちんと文書で契約を結ぶって必要があるのでは?
セキュリティチェックの為だと言っていても、内部情報にアクセス出来るかも知れない事を許可するのは、口約束で納得して良い物ではないと思うのですが。
実際、その試験の結果として自分の顧客に損害があれば、そりゃそのままでは試験をした人間に損害賠償請求をするでしょうから。