アカウント名:
パスワード:
という2種類ですよね。 前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。 たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
「黙っていさえすればセキュリティーの問題は存在しないんだ、そうすれば管理者は対策しないでいられるから大助かりだ」という考え=つまり被害に遭うまでわからない人もいるし、警告してもらっても無視する人もいるようですね。
事実を明らかにしないと、消費者や顧客が被害に遭う羽目になりかねないのだけれど。でも「自分の銀行のサイトの脆弱性があっても俺は平気」という考えなら、立派です。
自分の力がないから無視されている、という事実は変わらない。
それはoffice氏も自認しているところでは? 問題を見つけた人が報告するときに報告者に高度な能力が求められ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
XSSで引き起こされる被害 (スコア:1, すばらしい洞察)
という2種類ですよね。
前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
Officeさんのこと? (スコア:-1)
って、あのOfficeさんのこと?
たしかに、手あたり次第にあちこちのサイト管理者にXSS脆弱性についてなにも考えずに注意しまくったり、XSS以外の周りのことが見えなかったり、
Re:Officeさんのこと? (スコア:1)
「黙っていさえすればセキュリティーの問題は存在しないんだ、そうすれば管理者は対策しないでいられるから大助かりだ」という考え=つまり被害に遭うまでわからない人もいるし、警告してもらっても無視する人もいるようですね。
事実を明らかにしないと、消費者や顧客が被害に遭う羽目になりかねないのだけれど。でも「自分の銀行のサイトの脆弱性があっても俺は平気」という考えなら、立派です。
企業の姿勢? (スコア:0)
クルマの運転をしたことがない人に、「おまえの運転は三流だよね」などと言われるようなもの。
だから内容がいくら正しくても無視されて当然な場面は非常に多いと思う。
そこで、無視されては自分の存在がなくなってしまうからここの企業のWebはおかしいとか言う非常手段
Re:企業の姿勢? (スコア:0)
office氏の本当の狙いは、それをあぶり出すことにあるのでは?
それはoffice氏も自認しているところでは?
問題を見つけた人が報告するときに報告者に高度な能力が求められ
Re:企業の姿勢? (スコア:0)
> 企業の対応の実態を公表しているだけで。
これは事実誤認と思います。なぜかというと、そういう例を私は企業の窓口の方から聞かされて、愚痴られたことがあるから。
> けど、そういう「インシデント」の対応のときに、感情に左右されちゃうような企業は、危機管理がなってないというのもこれまた事実。
これもその人から聞いたけど、通常、企業の窓口の人は感情的になっていないと思います。むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、ということをそれこそofficeさんより長いビ
Re:企業の姿勢? (スコア:0)
> むしろ「ビジネス上の常識を知らない」という人の意見は聞いても価値がない、
それが十分感情的だっての。
ビジネスの相手は誰なの?
クレームをつけてきた一個人がビジネスの相手じゃないわけよ。
そのクレーマーがどう行動するかを見極めて、
他のお客様(これが真のビジネスの相手)の印象がどうなるかを計算して行動するのが、
まともなビジネスマンだろ。
一人のクレーマーの態度にたいして、
> 「ビジネス上の常識を知らない」
とか言ってるなんて、まるで危機管理できてないじゃん。
当事者ではないので (スコア:0)
人を攻撃して喜ぶのをさ。
どっちもACなんだし。
どっちも見苦しいよ。
おれもACだから言える義理じゃないけどさ。
Re:企業の姿勢? (スコア:0)
> 「おまえの運転は三流だよね」などと言われるようなもの。
またまたインチキな例えだな。アタマ弱すぎ。
正しくはこうだ。
バス会社が、
クルマの運転をしたことがない客に、
「おまえんとこの運転手は危なくて三流だ」
と言われるようなもの。
普通じゃないか。
Re:企業の姿勢? (スコア:0)
まじめにお話をしているところで、こういうものの言い方をする、ということ自体が常識を外れていると思います。
「インチキ」
「アタマ弱すぎ」
という表現をこういうときに使う、という人とは、やはり距離をおいて付き合う、というのがまともな常識人でしょう。私の信じている価値基準によれば、内容が正しいから、いくら汚い罵詈雑言を言っても
Re:企業の姿勢? (スコア:0)
> ビジネスも経営もまともに語れるとは思わないのですが。
ほう、常識的じゃん。で、自分が、
>>> ネットの技術を持った程度のボーヤが
って言うのはかまわんと。最高だね、アンタ。
ということで (スコア:0)
不毛な議論だし。
Re:企業の姿勢? (スコア:0)
ここだけはやっぱり受け容れがたいかな。
中身が正しかったら、表向き反発しても裏で対処するとかしないと…。
対処しないということは、「中身が正しい」と判断できていないことになってしまうでしょう。
聞いてもらえる人もいる (スコア:0)
>
> ここだけはやっぱり受け容れがたいかな。
正しくはその通りですね。私もそれについては本当は受け入れがたい。みんながそういう対応をしてくれれば問題はないんです。でも世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところで人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。で、そういう人も相手にしておかないと「わかる人だけ」が相手になってしまって、結局office氏が主張する内
Re:聞いてもらえる人もいる (スコア:0)
> で人の言っていることが本当かどうかを判断する、ということはけっこう多いんですよ。
そういうところをあぶり出すことこそに意義があるのでは?
> 世の中はけっこう広くて「姿かたち」とか「対応のしかた」みたいな本質とは関係ないところ
> で人の言っ