アカウント名:
パスワード:
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかった
人んちの郵便受けもつついて回ったらどうかね? 郵便受けの中身を見られる可能性がありますよって。
書留は途中で開封されなかったとみんな信じて受け取るだろうけど、
でも発送する郵便は全部書留にすべしなんて誰も騒ぎ立てない。 それはコストとのバランスがわかっているからさ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
被害が知りたい (スコア:2, 興味深い)
1.これまでにどういう被害があったか?
2.そのさい、どういう対策がとられたか?
3.被害総額はいくらくらいか?
という、実際に被害にあった例とその損害を数字で知りたいです。
なぜかというと、たとえば「包丁は危険です。だから使わないようにしましょう」ということはありえな
Re:被害が知りたい (スコア:3, 興味深い)
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
Re:被害が知りたい (スコア:1)
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかった
Re:被害が知りたい (スコア:0)
カネのからまない個人情報が盗まれるぐらいならガタガタ騒ぐほどの被害じゃないよ。
個人情報っつったっていろいろあるでしょ。
ネットワークだからコスト度外視しなくちゃいけないの?
例えば個人情報(住所や氏名)という個人情報が書かれた郵便ってメディアはたとえ通信経路上が安全かどうかもわからないし、郵便受けで盗み見られるかもしれないような*脆弱性*を持ってるよ。
でも発送する郵便は全部書留にすべしなんて誰も騒ぎ立てない。
それはコストとのバランスがわかっているからさ。
WEBの設計にだってコストがかかるし、実装にだってコストがかかる。
CSSの脆弱性を全部検討して設計するのもコストだし、CSSを理解したり、理解
できるSEを揃えておいて仕事させるのもコスト。
もちろん、管理者自らばら撒いたり、それが原因で金銭的な被害にあったりするのなら論外だけどね。
でもそんなこと過去にあったかどうかもわからないし、それは郵便でもいっしょ。
Officeみたいなことを言い出すんなら、人んちの郵便受けもつついて回ったらどうかね? 郵便受けの中身を見られる可能性がありますよって。
書留は途中で開封されなかったとみんな信じて受け取るだろうけど、それを保証してくれる人なんているんだろうか。その脆弱性も騒げば?
そこで「オレたちゃコンピュータ屋だから」なんて言い出すようなら、人んちのセキュリティをどうたら言う資格なんてないな。
Re:被害が知りたい (スコア:1)
コスト度外視して対策しろ、なんて誰も言ってないと思うけど。
むしろ、「極めて必須に近いコストだから出来るだけ高い優先順位であらかじめ組み込んでおきましょう」という見方が一般的でしょう。XSS に関する知識、技術は、Web 関連技術者にとって、そうとう優先度の高い技術になっていると僕は思いますよ。それこそデザイナーにとってなら HTML、デベロッパーにとってなら HTTP と同列くらいに。
Only Jav^Hpanese available :-)
Re:被害が知りたい (スコア:0)
>であらかじめ組み込んでおきましょう」という見方が一般的
そう、そうやってこの程度の知識レベルが必須だという。
現場を知らないのかね。
そういう知識技術レベルを備えた人は値段も高いのよ。
たいしたリスクもないところだったら、もっと安く見た目におんなじ
ようなモノができれば、それでいいじゃん。
Re:被害が知りたい (スコア:0)
の間違いでは?
意図的な間違えなら悪質ですね。
Re:被害が知りたい (スコア:0)
ばーか、本質的にどうでもいい。
自宅の郵便受けが盗みみられないようにガードしておくことも
必要だろうけどそんなことしたって途中の郵便局がわの施設でも
どうなってるかわからんでしょ。
あんたがたは、こういうことに対しても
「こういう脆弱性を抱えているんだから、
もっと安全な方法で書面を送れ!」
って言っているのに等しいのよ。そんなことできる?
個人の郵便受けからパスワードが記載されたISPからの連絡書面が
盗まれる可能性はゼロで無いし、手法としてはすごくカンタンだが、
だれかそういう危険を指摘して騒ぎ立ててくれたかい?
本質を見な
Re:被害が知りたい (スコア:0)
> 自宅の郵便受けが盗みみられないようにガードしておくことも
> 必要だろうけどそんなことしたって途中の郵便局がわの施設でも
> どうなってるかわからんでしょ。
だから郵便局側(だけ)を問題にしているんだろ?何言ってんの?
誰が自宅郵便受けのガードを問題にしたかよ?アホかおまえ。
> あんたがたは、こういうことに対しても
> 「こういう脆弱性を抱えているんだから、
> もっと安全な方法で書面を送れ!」
> って言っているのに等しいのよ。そんなことできる?
郵便局が、「郵便は安全です。安心してお使いください。」って
Re:被害が知りたい (スコア:0)
みんなそこそこ安全だろうと思って使ってる、
だけど、そんなこと起こらないだろうと思い込んで
(実質安全なメディアと同格に)扱ってる、
そのことが問題だとこの人は書いてるんじゃない
Re:被害が知りたい (スコア:0)
できないの?
そういう話だろ。
Re:被害が知りたい (スコア:0)
WEBなんてあったっけ?
0990ダイヤルアップツールをインストールさせられるようなサイトなら
話は別で、みんなOKですOKです連発するだろうけどな。
そういうサイトしか知らないかい?(ぷぷぷ)
Re:被害が知りたい (スコア:0)
> WEBなんてあったっけ?
いくらでもある。
http://www.goo.ne.jp/help/id/gooid.html#11
「ご入力いただいた情報は保護されますので、どうぞ安心してご登録下さい。」
少しは自分で調べたらどうだ?人を罵倒するくらいならな。
お前、「Officeキモイ」って言いたいだけちゃうんかと。
Re:被害が知りたい (スコア:0)