アカウント名:
パスワード:
実はあまり思わなかったり(笑)
世の中、完璧を目指すのは余りにハイコスト過ぎるって場合がままあります。 まあ、金に直結する場合はそうも言えないでしょうが、そこでコケても所詮はその企業なりの評判が落ちる程度の話であれば、それこそ担当者の裁量ってもんでしょう。
実際、それ以上の問題になるものであれば、それこそ個別に裁判となり、それによる出費が嵩みセキュリティ対処費用の方が安いとなれば、その時点で状況は変わるでしょう。
脆弱性への対応ですけど,つまるところ,セキュリティは技術だけの話じゃない,ってことだと思うんですよ. 今回の件にしても,office氏とACCSとASK ACCSのユーザとではそれぞれ立場や利害が違うわけで.それぞれにとって何が最優先であるか(アジェンダ)を勝手に想像すると,
で,一般論として,どこぞのシステムに脆弱性を発見した場合にどうすればいいか.発見者がそのシステムの利害関係者でなければ,直接言ったところで上と同様の理由により「無視をする」「逆切れ」「黙っててください」となる,と想像できる.穴を塞ぐのにかかるコストに見合うだけのメリットがないんだから. となると,可能性のある方法は,「利害関係者を巻き込む」「システムの評判を落とす」などの手で,動かざるをえないようにするか,あるいはもう「自分には関係ない」と思って諦めるか,のどっちか,でしょうね.「システムの評判を落とす」ってのは名誉毀損になるという危険が大なので注意.あとは自分のアジェンダに従ってお好きな方法をどうぞ.
技術屋として,そこに穴があったら塞ぎたい,と思うのは人情だけど,相手が何を求めてるかよく考えて動かないとうまくいかないんじゃないかな,てのが私の結論にならない結論.
まったくその通りだねぇ。。。
コンビニに行って
『コラァ!ここは警備員が常駐してないじゃないかー
連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……? 彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。 ACCSから見たら、重要なことだ(と思った)から返事したのに、それが届いたかどうか確認していない。 そして、実際に届いて(読まれて)いなかった。 どっちが「連絡方法がメールしかないって思ってる」んでしょ?
そりゃ無理だって。書いてないんだもん "office" としか名乗らなくて、連絡先もメールアドレスの office@office.ac なんて(一般人から
連絡方法がメールしかないって思ってるのは、office氏ではなくACCSでは……? 彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。
つまり自分の不手際を他人の責任にして逆切れしてたって事? 最悪だね。
ACCSから見たら、重要なことだ(と思った)
重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。
いや、普通はその後は放置でしょ? まさかいきなりテロに走るサイコ野郎だとでも思っていない限りは。 返答が欲しければまた何か言ってくるでしょうし。
別に連絡取れなかったら取れなかったでどうこうしなければいけない義務がある訳でも無いし。
大体その理屈変だよ
当初は「脆弱性を指摘してくれたことを感謝」(久保田氏)していたACCSだが、まもなく河合氏との関係はこじれ始める。ACCS側は河合氏による指摘ののち、ヨセフアンドレオン社という「ASKACCS」サイトの制作者から、詳細を確認すべくメールを河合氏あてに送信した。だが、河合氏は送信メールのドメインが「ASKACCS」でなかったことから、連絡を拒否。また、河合氏が前述の「A.D.2003」イベントにてCGI脆弱性の指
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
XSS脆弱性を発見したばあい (スコア:5, 興味深い)
・メールで脆弱性について伝える。
という方法がベター(電話ならベスト)である。
しかしながら、企業の対応はまちまちである。
1.無視をする
まだ貴方しか知らないんだからほっとこう
2.逆切れ
金でもゆすろうって言うのか?
不正アクセスで訴えるぞ!
3.黙っててください
状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません
4.即座に修正する
こりゃやばい、ありがとう直しておきます。
おおよその対応は1,3である
この場合このメールはほぼ意味を成さない。
2の場合己の社会的立場を危うくする場合がある。
4の場合はかなりまれなケースである
だからまずありえない
ここで問題になるのは
・企業が集めたデータを保全をする義務が無いということ
→つまり外部からアクセスされた場合不正アクセス法で訴えればいい
物騒な話である。
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
有無自在
Re:XSS脆弱性を発見したばあい (スコア:3, 興味深い)
しかもofficeこと河合容疑者は発見したセキュリティホールを
ACCSやレンタルサーバ業者などに連絡するよりも前に
A.D.200Xというイベントで不正アクセスによって得た個人情報を晒した上に
個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
これが後になって判明し、そこでofficeに協力的だったACCSも態度を変えたし、
改めて1月4日の朝日新聞の記事となったのです。
従って彼のケースを以てして一般論に話を持っていくのは間違いです。
なんでこう話を別に逸らそうとする人が多いのだろう。
Re:XSS脆弱性を発見したばあい (スコア:0)
>個人情報を含む資料を無線LANで自由にダウンロードできる形で会場内で配布していました。
>個人情報漏洩でACCSが謝罪した昨年11月にはセキュリティイベントのことは知らされていませんでした。
http://www.askaccs.ne.jp/h
Re:XSS脆弱性を発見したばあい (スコア:0)
それは知っているという前提条件で話してたんじゃないのカナ?
話を逸らすのは兎も角、嘘はいかんなあ (スコア:0)
>ACCSやレンタルサーバ業者などに連絡するよりも前に
なんでこう嘘をつく、あるいはろくに調べもせずに断定した語調でコメントするのだろう。
Re:XSS脆弱性を発見したばあい (スコア:1)
今回の件はXSSじゃありません。脆弱性はXSSだけじゃありません。
Re:XSS脆弱性を発見したばあい (スコア:1)
む、そうだったか、んじゃオフトピですな。
>脆弱性はXSSだけじゃありません。
当然です。
有無自在
Re:XSS脆弱性を発見したばあい (スコア:0)
#ツッコミだけなのでAC
Re:XSS脆弱性を発見したばあい (スコア:1)
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
>しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
実はあまり思わなかったり(笑)
世の中、完璧を目指すのは余りにハイコスト過ぎるって場合がままあります。
まあ、金に直結する場合はそうも言えないでしょうが、そこでコケても所詮はその企業なりの評判が落ちる程度の話であれば、それこそ担当者の裁量ってもんでしょう。
実際、それ以上の問題になるものであれば、それこそ個別に裁判となり、それによる出費が嵩みセキュリティ対処費用の方が安いとなれば、その時点で状況は変わるでしょう。
Re:XSS脆弱性を発見したばあい (スコア:1)
脆弱性への対応ですけど,つまるところ,セキュリティは技術だけの話じゃない,ってことだと思うんですよ.
今回の件にしても,office氏とACCSとASK ACCSのユーザとではそれぞれ立場や利害が違うわけで.それぞれにとって何が最優先であるか(アジェンダ)を勝手に想像すると,
で,一般論として,どこぞのシステムに脆弱性を発見した場合にどうすればいいか.発見者がそのシステムの利害関係者でなければ,直接言ったところで上と同様の理由により「無視をする」「逆切れ」「黙っててください」となる,と想像できる.穴を塞ぐのにかかるコストに見合うだけのメリットがないんだから.
となると,可能性のある方法は,「利害関係者を巻き込む」「システムの評判を落とす」などの手で,動かざるをえないようにするか,あるいはもう「自分には関係ない」と思って諦めるか,のどっちか,でしょうね.「システムの評判を落とす」ってのは名誉毀損になるという危険が大なので注意.あとは自分のアジェンダに従ってお好きな方法をどうぞ.
技術屋として,そこに穴があったら塞ぎたい,と思うのは人情だけど,相手が何を求めてるかよく考えて動かないとうまくいかないんじゃないかな,てのが私の結論にならない結論.
Re:XSS脆弱性を発見したばあい (スコア:0)
Re:思考停止を自分で認識してね [srad.jp] にも似たことが書かれている。
お客さんを相手にしていると、技術力よりも一発で相手に理解してもらう能力が重要。
もちろん、技術的に脆弱性の理解でも、
Re:XSS脆弱性を発見したばあい (スコア:0)
>セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
>しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
いや、べつに答えなきゃいいだけじゃないの...?
街頭アンケートでも、街頭募金でも、街頭署名でも、セキュリティって面では、あなたが言ってい
ネットとリアルの違い (スコア:1)
ネットアンケートの結果:簡単にほとんどコストがかからずに複写可能。管理も容易。
Re:ネットとリアルの違い (スコア:0)
コストがかかろうと、金儲けのネタならだれでもコピーしますが、なにか?
Re:ネットとリアルの違い (スコア:0)
Re:XSS脆弱性を発見したばあい (スコア:0)
多くの場合、アンケートの結果であるとか個人情報をなんらかのかたちで
保護します、とかそういうことがサイトのプライバシーポリシーとかでしっかり
うたわれているのじゃないかな?
それは立派な契約であって、ア
Re:XSS脆弱性を発見したばあい (スコア:0)
> しかも穴だらけのシステムを堂々と使っていても問題ないと
> 来ている・・・ばかげていると思いませんか?
まったくその通りだねぇ。。。
コンビニに行って
『コラァ!ここは警備員が常駐してないじゃないかー
Re:XSS脆弱性を発見したばあい (スコア:1)
> 『買物客の安全をなんだと思っとるんじゃーっ!』
> 『コンビニ強盗が多発してるのは知ってんだろーっ!』
>
>って吠えてきてくれる?
いつぞや刃物持って飛行機乗っ取って機長刺しちゃったキチ○イな人もそんなこと言っててやっちゃったんですよねぇ。
コンビニ強盗 (スコア:0)
おいら金だと思ってたよ:p
Re:XSS脆弱性を発見したばあい (スコア:0)
Re:XSS脆弱性を発見したばあい (スコア:0)
Re:XSS脆弱性を発見したばあい (スコア:0)
「通報者の態度が穏健かつ良識にのっとったものである」
この前提のもとに、書き手は、対する企業の良識だけが不測要因と考えて、可能性を並べていると思います。
しかし皆さんの議論を呼んでいると、実際の現場では、前提(office 氏の通報の仕
Re:XSS脆弱性を発見したばあい (スコア:0)
以前の騒ぎの時に office氏はメールで連絡を試みたそうですが、
ACCSからの連絡は帰ってこなくて ずーっとそのまま何ヶ月も
放置をしていたそうです。
Re:XSS脆弱性を発見したばあい (スコア:1)
件のスクリプトを製作した会社とやり取りをしていたが(彼主観で)遅々として話が進まなかったために、
グレて、今度集会があるから晒してやろうと同社のスクリプトを使ってるサイトを探したところ、
ACCSのサイトを発見して「こりゃいいネタだ」とばかりに集会で公開したんです。
ACCSに連絡したのは、集会のあとなんです。
で、返事がこねぇってのは(#488660)の状況だったわけ。
Re:XSS脆弱性を発見したばあい (スコア:0)
Re:XSS脆弱性を発見したばあい (スコア:0)
つーか、連絡方法がメールしかないって思ってる時点で人として失格。
そんなに大事なこと(だと思っているなら)他の連絡方法だ
Re:XSS脆弱性を発見したばあい (スコア:1)
彼からのメールは着いて(通じて)るわけで、こっち向きの連絡は成功してるんですよね。
ACCSから見たら、重要なことだ(と思った)から返事したのに、それが届いたかどうか確認していない。
そして、実際に届いて(読まれて)いなかった。
どっちが「連絡方法がメールしかないって思ってる」んでしょ?
Re:XSS脆弱性を発見したばあい (スコア:0)
そりゃ無理だって。書いてないんだもん
"office" としか名乗らなくて、連絡先もメールアドレスの office@office.ac なんて(一般人から
Re:XSS脆弱性を発見したばあい (スコア:0)
office@office.ac って office@office.(A)nonymous (C)owardなんだ。
いやそれはちょっと (スコア:0)
つまり自分の不手際を他人の責任にして逆切れしてたって事?
最悪だね。
Re:いやそれはちょっと (スコア:1)
重要だと思ってたら、メール以外の方法でも連絡を取ればいいわけでしょ。
Re:いやそれはちょっと (スコア:0)
・office のメールにはメールアドレスしか書いてない(少なくとも私が過去にやり取りしたときにはそうでした。河合のかの字もなかった。)
⇒ACCS にはメール以外での連絡方法を知るよしもない
⇒ACCS は住所も電話番号も公開しているんだから office は知り得た
それで ACCS がメール以外の方法で連絡しなかったことを責めるのは不合理です。
Re:いやそれはちょっと (スコア:0)
いや、普通はその後は放置でしょ?
まさかいきなりテロに走るサイコ野郎だとでも思っていない限りは。
返答が欲しければまた何か言ってくるでしょうし。
別に連絡取れなかったら取れなかったでどうこうしなければいけない義務がある訳でも無いし。
大体その理屈変だよ
Re:XSS脆弱性を発見したばあい (スコア:0)
もっと届かないきがするんですが。
Re:XSS脆弱性を発見したばあい (スコア:0)
>もっと届かないきがするんですが。
「きがする」というのが理由になると思っているのもかなりレベルが低いですよ。
#はっきり言って言い訳を考えてるだけですね。相手が聞いてくれないを理由
経緯 (スコア:0)
たぶん当事者への直接の取材によって書かれていると思われるので、参考になるかと。
Re:XSS脆弱性を発見したばあい (スコア:0)
1,2,3 の対応をする企業に対して、別に穴をふさぐふさがないはそっちの責任だが、自分自身の個人情報は消せとかっていうことはできないのでしょうか?
掲示板とか、アマゾンとかのレビューとリストなんかもそうだけど、書き込みに対して大抵、内容についての責任は、企業側はとらないわけ
Re:XSS脆弱性を発見したばあい (スコア:0)
お前ら、ここのサイトは以下の方法で個人情報が丸見えだ。
と書き込むのが効果的でしょう。
これだとIP通報されてしまうのか?