ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。
***
「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Officeさんのこと? (スコア:-1)
って、あのOfficeさんのこと?
たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、偏狭な主張で人を罵倒することに生きがいを感じているようなところもチラチラみえるし、自分が持ち上げられるとふんぞり返ったりして、自己顕示欲ばっかりおおきい、見ていてほほえましいくらい頭が悪い人だけど、技術的内容には間違いはないと思うな。
いい人ですよ。
ほんと。
Re:Officeさんのこと? (スコア:1, 参考になる)
重箱の隅につついて、ほこりが出たら騒ぎ立てる。そうやってカネを得ようとするのが商売だからねぇ。仕方ないんじゃないすか。
本当にいい人ならこっそり会社に教えて、ちゃんと対応すればそのまま音便に済ませるでしょう。しかし、(自称)セキュリティ専門家は対応しようとしまいと騒ぐからね。こうやって自分を広告するしかないんです。
Re:Officeさんのこと? (スコア:1, 参考になる)
Office氏はそのように行動してるが何か?
その上でちゃんと対応しないので公開してるのだが何か?
#たしかに口は悪いけどね
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
で、その危険な橋つくった連中を非難するのも。
#たしかに口は悪いが
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
今じゃすっかり毒されたね。
無償で電波を流す分には被害は限られていたが
金が絡んできて彼の子
Re:Officeさんのこと? (スコア:1)
「黙っていさえすればセキュリティーの問題は存在しないんだ、そうすれば管理者は対策しないでいられるから大助かりだ」という考え=つまり被害に遭うまでわからない人もいるし、警告してもらっても無視する人もいるようですね。
事実を明らかにしないと、消費者や顧客が被害に遭う羽目になりかねないのだけれど。でも「自分の銀行のサイトの脆弱性があっても俺は平気」という考えなら、立派です。
企業の姿勢? (スコア:0)
クルマの運転をしたことがない人に、「おまえの運転は三流だよね」などと言われるようなもの。
だから内容がいくら正しくても無視されて当然な場面は非常に多いと思う。
そこで、無視されては自分の存在がなくなってしまうからここの企業のWebはおかしいとか言う非常手段
Re:企業の姿勢? (スコア:0)
office氏の本当の狙いは、それをあぶり出すことにあるのでは?
それはoffice氏も自認しているところでは?
問題を見つけた人が報告するときに報告者に高度な能力が求められ
Re:企業の姿勢? (スコア:0)
> 企業の対応の実態を公表しているだけで。
これは事実誤認と思います。なぜかというと、そういう例を私は企業の窓口の方から聞かされて、愚痴られたことがあるから。
> けど、そういう「インシデント」の対応のときに、感情に左右されちゃうような企業は、危機管理がなってないというのもこれまた事実。
これもその人から聞いたけど、通常、企業の窓口の人は感情的になっていないと思います。むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、ということをそれこそofficeさんより長いビ
Re:企業の姿勢? (スコア:0)
> むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、
それが十分感情的だっての。
ビジネスの相手は誰なの?
クレームをつけてきた一個人がビジネスの相手じゃないわけよ。
そのクレーマーがどう行動するかを見極めて、
他のお客様(これが真のビジネスの相手)の印象がどうなるかを計算して行動するのが、
まともなビジネスマンだろ。
一人のクレーマーの態度にたいして、
> 「ビジネス上の常識を知らない」
とか言ってるなんて、まるで危機管理できてないじゃん。
当事者ではないので (スコア:0)
人を攻撃して喜ぶのをさ。
どっちもACなんだし。
どっちも見苦しいよ。
おれもACだから言える義理じゃないけどさ。
Re:企業の姿勢? (スコア:0)
> 「おまえの運転は三流だよね」などと言われるようなもの。
またまたインチキな例えだな。アタマ弱すぎ。
正しくはこうだ。
バス会社が、
クルマの運転をしたことがない客に、
「おまえんとこの運転手は危なくて三流だ」
と言われるようなもの。
普通じゃないか。
Re:企業の姿勢? (スコア:0)
まじめにお話をしているところで、こういうものの言い方をする、ということ自体が常識を外れていると思います。
「インチキ」
「アタマ弱すぎ」
という表現をこういうときに使う、という人とは、やはり距離をおいて付き合う、というのがまともな常識人でしょう。私の信じている価値基準によれば、内容が正しいから、いくら汚い罵詈雑言を言っても
Re:企業の姿勢? (スコア:0)
> ビジネスも経営もまともに語れるとは思わないのですが。
ほう、常識的じゃん。で、自分が、
>>> ネットの技術を持った程度のボーヤが
って言うのはかまわんと。最高だね、アンタ。
ということで (スコア:0)
不毛な議論だし。
Re:企業の姿勢? (スコア:0)
ここだけはやっぱり受け容れがたいかな。
中身が正しかったら、表向き反発しても裏で対処するとかしないと…。
対処しないということは、「中身が正しい」と判断できていないことになってしまうでしょう。
聞いてもらえる人もいる (スコア:0)
>
> ここだけはやっぱり受け容れがたいかな。
正しくはその通りですね。私もそれについては本当は受け入れがたい。みんながそういう対応をしてくれれば問題はないんです。でも世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところで人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。で、そういう人も相手にしておかないと「わかる人だけ」が相手になってしまって、結局office氏が主張する内
Re:聞いてもらえる人もいる (スコア:0)
> で人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。
そういうところをあぶり出すことこそに意義があるのでは?
> 世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところ
> で人の言っ
Re:Officeさんのこと? (スコア:0)
氏は脆弱性を見つけ次第脊髄反射で公開したりなどはしていないとおもったが。
氏が公開してるやり取りを見るに、管理者サイド側も「あいたたた」な感じがする。
性格的に若干問題があるような気がしないでもないが、有益なことをしているとおもわれる。
Re:Officeさんのこと? (スコア:0)
まっ、米国民にとって有益だからアフガニスタン中に爆弾バラ撒くのもOKだし、日本の亡命/難民を受け入れないという政策にとって有益だから亡命者を中国の警察に渡しちゃうのもOKだしね。
Re:Officeさんのこと? (スコア:0)
都合がいいが関連性の見えん例ではねぇ。
Re:Officeさんのこと? (スコア:0)
「できる」からといっても「やっちゃいけない」事だと思うよ。
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
たしかに微妙ではあるがね。しかし、やばいという事がわかったとして、黙ってほっとくか?、で、あとで本当のドロボウがあらわれて事件になると。
Re:Officeさんのこと? (スコア:0)
Re:Officeさんのこと? (スコア:0)
しゃれにならんわ。
Re:Officeさんのこと? (スコア:1)
ところで逆に、お粗末なシステムで大量の顧客情報を不正流出させてる企業を取り締まる法律、っつーのはないもんなのか?ページ上での陳謝だけでお茶を濁せる、っつーのは事件の重大性から考えて信じられないことだと思うんだが。現状だとたぶん個人ベースで実害を被った時に初めて個人ベースでその企業を訴えられる、というくらいなんだと思うが、流出した情報と実害 (変な Direct Mail/Email の増加は十分実害に値すると思うんだが) の相関を立証するのは極めて困難、とゆーあたりが弁護士を駆り立てて集団訴訟に持ってくには大きな障害っぽいしなぁ。
***
「金、金、金の世の中デスカ?」じゃないけど、「コスト、コスト」と叫ぶ人達を見てると、ネットバブルでちょっと HTML がかけるくらいの人達が雨後の筍のように Web 製作会社を作ってしまったことで過当競争気味なのかねぇ、と思う。当事者は可哀想と思うけど、安易にビジネスをはじめてしまったツケが回ってきてるだけなような気もするな…。
Only Jav^Hpanese available :-)
みんなカネないしね (スコア:0)
それはしょうがないことだと思う。
だから、「コスト」って言うんだ。
> ラルフ・ネーダーなんかと並べて議論するのは過大評価か。
これは明らかに過大評価。
ラルフ・ネーダーはもっと「公明正大」だし、企業の人もなるべく不快にしないように配慮した言い方をするのに努力していますよ。少なくとも、企業の一担当者を責めたりとか、突然「企業の姿勢がなってない」と言うような、バックグラウンドをまったく無視した言い方はしない。ネーダーは、企業のバックグラウンドを詳細に調査し、そのうえ
Re:みんなカネないしね (スコア:1)
ネーダーや、まぁ office さんみたいなある種の「運動家」は、ある程度支持者を得て影響力を持ってこそナンボな部分があるわけで、そのための大前提の部分からして雲泥の差がある、ということが、このトピックで皆がこれだけ議論 (?) していることの原因なんでしょうね。技術的、法律的、倫理的、まぁなんでも「正しい」ことを主張していれば、表現形はどうあれ最終的には認められるはず、という妄想は非現実的であるってことだな。結局のところ技術的、法律的、倫理的、学問的まぁなんでも、意見が受け入れられるか否かということも、人と人との関係性の強度、という意味の政治力に左右されることは免れないのだとゆー普通人にとっては当たり前の結論に落ち着くわけだ。
ところで僕は office さん他についてそれほど詳しいわけじゃないんで、彼らの政治力が先の AC が書いたようにそれほど弱いのかどうかは定かではない (どっちかっつーと、皆がこれだけ知っている、というだけでも逆に相当なもんだと僕は思う)。そこんとこ、誤解しないで欲しい>皆の衆。
#カネなくて余裕ない、とゆーのには全く同意。今のニッポンの状況を如実に表していますな。
Only Jav^Hpanese available :-)