アカウント名:
パスワード:
改竄されたサイトが最近は非常に多いですよね。
VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。
愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。
改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。
ACCS事件から何も学んでいないんですね。あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
> ACCS事件から何も学んでいないんですね。> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。そういう発表の場でやって見せたんですから。
善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。
>自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。>「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
「~。ベネッセさん。」とブログに書く人物がどうなのかは、自己顕示欲というよりも間違った行動をとったベネッセへのちょっとした嫌がらせでしょう。ベネッセ側が「みつけてくれてありがとう」って返していれば書かれることも無かった。
>悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
「我々」が誰たちを示すのか全く分かりませんが、この件でも何の件でもITとは無関係でも、自分が正しいと思っている論理が通用しない人って言うのは必ずいるんです。
「伏見稲荷神社で全裸になって神様を侮辱すれば皆面白がって喜ぶだろう」という早稲田大学生の論理は一般には通用しませんよね。
これ、どうなんだろう。
もし、一報入れるなんて面倒なハードルができたら、無償での脆弱性検査はやり辛くなるだろうし、その一方で悪用目的の奴は無断で調べて黙って悪用するだろう。恐らく状況は悪くなる。
>>せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
だったら、ユーザーがそのサイトを見る前にベネッセの許可を取るように書いておくべきだな。
XSSについて調べてこい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
改竄被害サイトへの通報 (スコア:2, 興味深い)
改竄されたサイトが最近は非常に多いですよね。
VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。
愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。
そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。
脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。
改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。
通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。
Re: (スコア:1)
ACCS事件から何も学んでいないんですね。
あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。
自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
Re:改竄被害サイトへの通報 (スコア:0)
> ACCS事件から何も学んでいないんですね。
> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。
そういう発表の場でやって見せたんですから。
善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。
>自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
>「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。
せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
「~。ベネッセさん。」とブログに書く人物がどうなのかは、自己顕示欲というよりも間違った行動をとったベネッセへのちょっとした嫌がらせでしょう。
ベネッセ側が「みつけてくれてありがとう」って返していれば書かれることも無かった。
>悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
「我々」が誰たちを示すのか全く分かりませんが、この件でも何の件でもITとは無関係でも、自分が正しいと思っている論理が通用しない人って言うのは必ずいるんです。
「伏見稲荷神社で全裸になって神様を侮辱すれば皆面白がって喜ぶだろう」という早稲田大学生の論理は一般には通用しませんよね。
Re: (スコア:0)
偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。
せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
これ、どうなんだろう。
もし、一報入れるなんて面倒なハードルができたら、無償での脆弱性検査はやり辛くなるだろうし、
その一方で悪用目的の奴は無断で調べて黙って悪用するだろう。恐らく状況は悪くなる。
Re: (スコア:0)
>>せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
だったら、ユーザーがそのサイトを見る前にベネッセの許可を取るように書いておくべきだな。
Re: (スコア:0)
Re: (スコア:0)
XSSについて調べてこい
Re: (スコア:0)