アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
見つかった場合・・・・・ (スコア:2, 興味深い)
ただ、サーバー管理者ではなく、自部門のWebコンテンツの
担当者と言った方が正解かと思います。
HTML書くこともありますが、多くは外注に出す作業指示と
チェックです。
さて、サポート対応窓口に、サイトに関する問い合わせが
入信した場合、私の所にダイレクトで連絡が入るように
なってます。
ただ、今までサイトの脆弱性を指摘するような連絡ってのは
======= nandabe =======
Re:見つかった場合・・・・・ (スコア:3, 参考になる)
> 指摘してくる人たちが多いのも事実です(^_^;)
とはいえ、指摘がありがたいこともあります。
すくなくとも、私は歓迎します(バグはないように努力してますが)。
以前、Office氏からXSSの脆弱性指摘のメールを受けたこと [srad.jp]があり
ますが、その経験からの想像では、今回のようなことになったのは、
彼のやり方がマズかっただけではないでしょうか。
私が受け取った、彼のメールは、期限を切って対応状況を一般に公開
するという脅迫めいたもので(サイトの信用を人質に取られているよう
なもんです)、相手によっては、個人情報を暴露するまでしなくとも、
司法に訴えるなどのことを考えるでしょう。
ようするに、みんな大人として、ちゃんとしたコミュニケーションを
とりましょうよ。ということかと。
もちろん、Office氏のような事例が発生してしまった以上、セキュリ
ティホールを指摘する側としては、相手を見てやらないと、痛い目に
合うリスクは高くなってしまったわけですが。
Re:見つかった場合・・・・・ (スコア:0)
> するという脅迫めいたもので(サイトの信用を人質に取られているよう
> なもんです)、相手によっては、個人情報を暴露するまでしなくとも、
> 司法に
Re:見つかった場合・・・・・ (スコア:5, すばらしい洞察)
しかし、時間が限られている中で、できることは限られます。利用者の利益を損なわないことを優先したとしても、脆弱性の内容によっては、対応することの優先度が高いとは限らないのです。実際、私が係わっていたサイトでのXSSの脆弱性については、こちらからの返答に対してOffice氏も緊急度が低いことは認めてはいました。
彼の真意はわかりませんが、彼の最初のメールの文面から当時、私がいたサイトで判断されたことは、彼に対してはまるで交渉の余地がない、たとえば、優先度の低い脆弱性であるし、期限までに対応できないので、こちらが対応し、利用者にアナウンスするまでは、公表を待ってほしい、というような交渉は不可能だということでした。
問題は、脆弱性を抱えている側が、それを適切に塞ぎ(緊急度が高い場合は、最悪サイトの一時閉鎖も含む)、利用者にそうした問題があったこと、その影響などをアナウンスした時点までは、Office氏サイドも公開を留まるべきだと思います。もちろん、サイト側の対応が本当に不誠実で、利用者の利益を損なう状況が放置されたままとなるのであれば、Office氏が警笛を鳴らすことも必要かもしれませんが、それも慎重にやるべきだったはず。
ないしょにしたいから、公開しないでほしい、と脆弱性を抱えたサイトが言うのは、言語道断ですが、彼の目的が、本当に彼なりの正義を全うしたく、利用者の利益を守ることなのだとしたら、脆弱性の緊急度に応じて、脆弱性を持っているサイト側が現実的な対応ができるような時間的猶予を与えたり、利用者や一般への公表のしかたについても、それぞれの事情を考慮すべきではないでしょうか?
今回のACCSの件のように、利用者の個人情報が取得できてしまうなどというような緊急度の高い問題の場合なら、なおさら、公開の方法は慎重になるべきです。そこを誤ったがために、今回は個人情報が本当に流出してしまい、結果的に逮捕に至る事態になったわけですから。
私のコメントに的確にフォローしていただいた方 [srad.jp]もおられますので、そちらを読んでいただけると事情はお分かりになっていただけるかもしれません。