アカウント名:
パスワード:
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
1年前を思い返してみると、IEのセキュリティホールにパッチをあてることの重要性をいくら訴えても、あまり耳を貸してもらえる状況ではありませんでした。新聞やテレビで取り上げられることはけっしてありませんでしたし、パソコン雑誌ですら頑なに取り上げることを拒否するほどでした。あるセキュリティ専門機関に訴えても、「それって実際の被害が出るの?」と疑われる始末。そのときもやはり「個別のターゲットを狙った攻撃は起きていても知ることは困難」と先のコメントと同じことを説明したものです。
それがどうですか、9月18日のNimdaワームの登場で世の中はすっかり変わりました。もう一般の方にでさえ説明はいらなくなりました。
つまり、どういうことですか。
そういう解決をjbeefさんにしていただけるとも思いませんし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
被害が知りたい (スコア:2, 興味深い)
1.これまでにどういう被害があったか?
2.そのさい、どういう対策がとられたか?
3.被害総額はいくらくらいか?
という、実際に被害にあった例とその損害を数字で知りたいです。
なぜかというと、たとえば「包丁は危険です。だから使わないようにしましょう」ということはありえな
Re:被害が知りたい (スコア:3, 興味深い)
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
全部の場合は無理と思います。が (スコア:2, 興味深い)
技術的に見て「これは脅威だ!」というのは大変によくわかる。たとえて言えば、道路の真ん中に大きな穴があいているのは、誰でもわかっている。なのに「その脅威にはまって」「実際に穴に落ちる人がいない」ということであれば、誰もその穴をふさぐ必要を感じない、ということも会社も含めた世の中にはあるんです。
いいことではないとは思うけれど、「実際に道路の真ん中にある穴に落ちて怪我をしたことがある」という人がいない限り、穴をふさぐ作業に誰もお金をかけようとは思わないわけです。
たしかに、現状ほとんどの企業や団体がお金をあまり使えない状態にあるし、XSS対策をとる=道路の穴をふさぐより、もっと緊急で大きな問題を抱えていることが普通です。だから、対策の優先順位を上げてもらうために、どこかにその実例はないか?と探しているところなのですが、この実例が全然ないんですよね。。。。挙句の果ては「技術屋が趣味でみつけたどうでもいいことをさも大変なことのように、自己顕示欲を満足させたいために騒ぎ立てている」なんて言われちゃう始末なんです。
システム管理者の愚痴になってしまいましたが。。。。
Re:全部の場合は無理と思います。が (スコア:1)
1年前を思い返してみると、IEのセキュリティホールにパッチをあてることの重要性をいくら訴えても、あまり耳を貸してもらえる状況ではありませんでした。新聞やテレビで取り上げられることはけっしてありませんでしたし、パソコン雑誌ですら頑なに取り上げることを拒否するほどでした。あるセキュリティ専門機関に訴えても、「それって実際の被害が出るの?」と疑われる始末。そのときもやはり「個別のターゲットを狙った攻撃は起きていても知ることは困難」と先のコメントと同じことを説明したものです。
それがどうですか、9月18日のNimdaワームの登場で世の中はすっかり変わりました。もう一般の方にでさえ説明はいらなくなりました。
つまり、どういうことですか。
全くおっしゃる通りなんですが (スコア:1)
技術に強い人じゃないですし。。。。私を責められても私が困るだけで、解決にはならないのですが。
「そんな会社やめちゃえ!」ということを言われているのでしたら、それは私の事情もあって今はできないことですし、こちらの会社の事情や私の個人的な事情をお話しても、そういう解決をjbeefさんにしていただけるとも思いませんし。
おふとぴになるので、ここはこれで失礼させていただきますが。
Re:全くおっしゃる通りなんですが (スコア:0)
しかし、ほんとに必要と思ったら、そういう拒否パターンに関する情報集積も重要だと思いますよ。(外務/農水/雪印と見ていると…)
#怖いのでAC
Re:全部の場合は無理と思います。が (スコア:0)
実例でわるいが (スコア:0)
※うちの上司はビビってくれた