アカウント名:
パスワード:
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。 きちんと損害発生時の事まで含めた契約書を作成してか
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ? 全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。 ・内部で試験する。 ・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。 面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。 その
「普通」は放置でしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
これって (スコア:4, すばらしい洞察)
司法から与えられたっ、て事なんでしょうかね。
Re:これって (スコア:2, 参考になる)
脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。
文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。
M-FalconSky (暑いか寒い)
Re:これって (スコア:1, 興味深い)
無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
Re:これって (スコア:3, すばらしい洞察)
私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと
あと、予告できる仕組みってありましたっけ?
M-FalconSky (暑いか寒い)
Re:これって (スコア:2, すばらしい洞察)
「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタック
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:これって (スコア:2, すばらしい洞察)
Re:これって (スコア:0, 余計なもの)
「許可を取る」ってのは相手の許諾を持って初めて実行する。
「予告」は実行する事は既に(自分で勝手に)決定済みで、それの通知を行う。
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。
きちんと損害発生時の事まで含めた契約書を作成してか
Re:これって (スコア:1)
こんな冗談みたいなことがホントに起こる世の中になりつつあることを危惧してるんじゃないかな。
Re:これって (スコア:1)
>しかも何故か裁判なんかもそのまま負かされてしまって、多大な損害を被りかねない。
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ?
全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する
Re:これって (スコア:3, 参考になる)
「脆弱性がある疑いがあるのでテストする」
→「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
# 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う
Re:これって (スコア:1)
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。
・内部で試験する。
・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。
面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。
その
Re:これって (スコア:0)
>・内部で試験する。
>・問題対処後、必要ならコメントを出す。
>
>ってのが普通ではないですか?
「普通」は放置でしょう。
例に挙がった対応は上等な方ですね。
劣悪な対応として逆ギレもありうると思いますよ。
Re:これって (スコア:0)
そういうメールを送って来るヤツにこそアレな奴が多い。
ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も無い。
確か11月に見つけたって言っていて8日迄には既に最低4回のアクセスをしている。
結局放置されたと言うのは名目で元々やるき満々だったとしか思えん。