パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward
    あーあ

    ボランティアベースでoffice氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれないのに。

    >「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから
    (http://bakera.jp/hatomaru.aspx/ebi
    • そのページを読んだ限りでは、「絶対秘密は守るから脆弱性の検証をさせてくれ」と頼んではいなかったように見えるのですが。むしろ「office氏が逮捕されてなきゃ(無断で)検証してたのに」というニュアンスを感じました。
      検証される側からするとそれってどうなんでしょう。「脆弱性を見つけても機密情報を手にしてもそれを悪用しない」という確約を取り付ける前に検証されては、される側からすれば”検証後にその成果を教えてくれた”以外には実際に攻撃されたのと同じじゃないですか?(勿論これも大きな違いではあるが、通報者の善意…というか”悪意が無い事”を証明する物ではない)

      > office氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれない

      更に言えば、office氏みたいな人がこの事件を引き起こしたかもしれませんね。office氏自身、ACCSの件以前にも数々の脆弱性を発見すると同時に得てきた情報を悪用してないとは限りませんし(今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?)。

      # という感じの事を前も書きました [srad.jp]。「いきなり検証済み脆弱性を報告してきた人」に企業側ではどんな対応をするのか、どなたか教えて頂けないでしょうか。少なくとも素性も探らないままなんて事は無いと思いますが…
      親コメント
      • >今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?

        そういうことで「スカッ」とするタイプの小悪党ではなかったという周囲の認識。
      • SQLインジェクションなんてものは自由に入力出来るエディットボックスであればどこにでも可能性があるように外からは見えると思えるのですが、
        エディットボックスがあるサイトに対してチェックさせてくれって言ってまわって相手にされるんでしょうか?

        何も試さなくてSQLインジェクションの可能性なんて判断出来ますか?
        • >何も試さなくてSQLインジェクションの可能性なんて判断出来ますか?

          出来ないんならしなきゃ良いんでないかい?
          頼まれた訳でも無し。

      • >今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?

        そういうことで「ニタ~ッ」とするタイプの巨体悪党だったという周囲の認識。

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

処理中...