アカウント名:
パスワード:
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、この話題のひとは、通報後もはひたすら攻撃し続けたらしい。直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
> ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、> この話題のひとは、通報後もはひたすら攻撃し続けたらしい。> 直してるから待って、というのは聞いてくれなかったようです。
ちょっと良く理解できないんですが、それでサーバ運営側に何らかの不利益があったんですか?Cross Site Scripting脆弱性を突いたところで、その攻撃対象は所詮「検証者自身」だったはずであり、(その脆弱性を公開すれば、悪意の第三者がサイト利用者を攻撃対象にすることが有り得ますが)同じ検証コードで何度それを突いたところで運営側には何の不利益も起きないと思います。
もしかして、アクセスログで目にする度に修正をせかされてるみたいでカチンと来た、みたいな感情的なお話?せっかくですから、中の人が@ITなどのメディアに登場して釈明すればいいんじゃないかな?
通報後、悪用されていないかログを検証監視するのは真っ当な対応ですが、そこで不用意に紛らわしいアクセスされると、やはりそれもチェックしないとダメですよね。大丈夫だろうとセキュリティホールを作ってたわけで、そのチェックに大丈夫だろうと穴開ける訳にはいきませんから。とすると、不用意にアクセスされるのは不利益にはなります。#ま、身から出た錆なんだし、とっとと停止して修正するべきではあるんですがね。
対策してたら、アクセスを禁止する意味がないでしょう。DoSなら分かりますが、XSSなんだし。
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
a. ベネッセの担当者が糞過ぎて、「感情的不満でしかないもの」を正当化脚色して社外へ漏らしている。b. 担当ではない人間が、歪んだ愛社精神から伝聞を知ったかぶりで披露し、無知な知人ACが真に受けてしまっている。c. Masato Kinugawa氏の事が気に入らないACが、XSS脆弱性の何たるかも知らずに創作でテキトー言ってる。
さて、どれだろうか?大元コメント(#2458770)のAC氏がXSS脆弱性を理解してない事はほぼ確定だと思うので、氏の言う「調べてみた」については、虚偽であるか、全く不足しているかのどちらかだと言えるだろう。仮にAC氏が話を聞いたと言う「中の人」が実在していたとしても、このAC氏には、それがaパターンかbパターンかも区別できないはず。
# 相手が何を言ってるか理解できるだけの予習も無しに話だけ聴いて「調べてみた」とは、# 何処の全国紙記者様ですか?と言わざるを得ない。一般人はそんな雑な大口叩かない。
http://security.srad.jp/comments.pl?sid=611249&cid=2458816 [srad.jp]
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
http://security.srad.jp/comments.pl?sid=611249&cid=2458834 [srad.jp]
XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?
http://security.srad.jp/comments.pl?sid=611249&cid=2458924 [srad.jp]
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。
↑このあたりのコメントも大元のAC氏には理解できんだろうから補足するけど、XSS脆弱性ってのは、「第三者がベネッセのふりをして、ベネッセのサイトの利用者を攻撃できる」脆弱性であって、「ベネッセのサイトそのものを攻撃できる」脆弱性ではないんだよね。だから、XSS脆弱性検証においてベネッセのサイトを攻撃する事はできない。ベネッセのサーバログには「サイトが攻撃されている」痕跡は無かったと推測できる。
# ベネッセ側の「攻撃された」と言う自己申告のみ(証拠なし)でISPが動いたことになるため、# 当然ながら、虚偽の「攻撃された」申告をしたと思われるベネッセだけでなく、# 確認せずに鵜呑みにしたISPも批判されて然るべき。
それにしても、大元にプラスモデ付いてるのが興味深い。良識あるモデレータ諸君が「晒し上げのために」この苦しいコメントにプラスしているとは思えないし、たぶん、ベネッセから本件の火消しを依頼された企業のスタッフ達が、あれを擁護する事が火消しになると勘違いしたのだろう。下手に目立つと、/.J以外に発言チャネルを持つ人達の目にも留まってしまうのにねぇ。そこはマイナスモデで沈めてしまうのが正解だよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
正直眉唾物なお話ですが (スコア:0)
> ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
> この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
> 直してるから待って、というのは聞いてくれなかったようです。
ちょっと良く理解できないんですが、それでサーバ運営側に何らかの不利益があったんですか?
Cross Site Scripting脆弱性を突いたところで、その攻撃対象は所詮「検証者自身」だったはずであり、
(その脆弱性を公開すれば、悪意の第三者がサイト利用者を攻撃対象にすることが有り得ますが)
同じ検証コードで何度それを突いたところで運営側には何の不利益も起きないと思います。
もしかして、アクセスログで目にする度に修正をせかされてるみたいでカチンと来た、みたいな感情的なお話?
せっかくですから、中の人が@ITなどのメディアに登場して釈明すればいいんじゃないかな?
Re: (スコア:0)
通報後、悪用されていないかログを検証監視するのは真っ当な対応ですが、そこで不用意に紛らわしいアクセスされると、やはりそれもチェックしないとダメですよね。
大丈夫だろうとセキュリティホールを作ってたわけで、そのチェックに大丈夫だろうと穴開ける訳にはいきませんから。
とすると、不用意にアクセスされるのは不利益にはなります。
#ま、身から出た錆なんだし、とっとと停止して修正するべきではあるんですがね。
Re:正直眉唾物なお話ですが (スコア:0)
対策してたら、アクセスを禁止する意味がないでしょう。DoSなら分かりますが、XSSなんだし。
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
Re:正直眉唾物なお話ですが (スコア:1)
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
a. ベネッセの担当者が糞過ぎて、「感情的不満でしかないもの」を正当化脚色して社外へ漏らしている。
b. 担当ではない人間が、歪んだ愛社精神から伝聞を知ったかぶりで披露し、無知な知人ACが真に受けてしまっている。
c. Masato Kinugawa氏の事が気に入らないACが、XSS脆弱性の何たるかも知らずに創作でテキトー言ってる。
さて、どれだろうか?
大元コメント(#2458770)のAC氏がXSS脆弱性を理解してない事はほぼ確定だと思うので、
氏の言う「調べてみた」については、虚偽であるか、全く不足しているかのどちらかだと言えるだろう。
仮にAC氏が話を聞いたと言う「中の人」が実在していたとしても、このAC氏には、
それがaパターンかbパターンかも区別できないはず。
# 相手が何を言ってるか理解できるだけの予習も無しに話だけ聴いて「調べてみた」とは、
# 何処の全国紙記者様ですか?と言わざるを得ない。一般人はそんな雑な大口叩かない。
http://security.srad.jp/comments.pl?sid=611249&cid=2458816 [srad.jp]
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
http://security.srad.jp/comments.pl?sid=611249&cid=2458834 [srad.jp]
XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?
http://security.srad.jp/comments.pl?sid=611249&cid=2458924 [srad.jp]
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。
↑このあたりのコメントも大元のAC氏には理解できんだろうから補足するけど、XSS脆弱性ってのは、
「第三者がベネッセのふりをして、ベネッセのサイトの利用者を攻撃できる」脆弱性であって、
「ベネッセのサイトそのものを攻撃できる」脆弱性ではないんだよね。
だから、XSS脆弱性検証においてベネッセのサイトを攻撃する事はできない。
ベネッセのサーバログには「サイトが攻撃されている」痕跡は無かったと推測できる。
# ベネッセ側の「攻撃された」と言う自己申告のみ(証拠なし)でISPが動いたことになるため、
# 当然ながら、虚偽の「攻撃された」申告をしたと思われるベネッセだけでなく、
# 確認せずに鵜呑みにしたISPも批判されて然るべき。
それにしても、大元にプラスモデ付いてるのが興味深い。
良識あるモデレータ諸君が「晒し上げのために」この苦しいコメントにプラスしているとは思えないし、
たぶん、ベネッセから本件の火消しを依頼された企業のスタッフ達が、
あれを擁護する事が火消しになると勘違いしたのだろう。
下手に目立つと、/.J以外に発言チャネルを持つ人達の目にも留まってしまうのにねぇ。
そこはマイナスモデで沈めてしまうのが正解だよ。