パスワードを忘れた? アカウント作成

k3c (4386) の日記

2002 年 02 月 07 日
午後 12:42

クロスサイトスクリプティングの脆弱性を持つサイトの対応

タレコんだが却下される可能性が高いのでここにも掲示しておきます。

クロスサイトスクリプティングの脆弱性を持つサイトの対応

Tea Room for ConferenceのNo.623あたりでtachさんとofficeさんのメールのやり取りが(一部)公開されていたり。
うーむ。OSDNやThinkGeekについては、連絡先を間違っているのはまずいと思うのだが、しかし、tachさんもいわゆるUpstreamへ連絡くらいしてあげてもいいのではないかという気もしたり。
こういう場合、ワタシ的には「担当者を直接知っているわけではないのでどのくらい説得力があるか分からないけど、私からも伝えておきます。そちらからもご連絡いただければ…」くらいの対応が妥当ではないかと。

前後のやり取りが分からないのでなんともアレですが…。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • http://www.office.ac/tearoom/noframe.cgiのNo.623によると

    しかし,slashdot.org を含め,slashcode を利用している多くのサイ トが同様の脆弱性を持っていることを確認しております.slashcode の開発者などにも報告しております.たぶん,upstream レベルでの 対応がされると思います.
    とあるのでupstreamに連絡はしているようです。

    私から見るとoffice氏のCSS脆弱性発見後の行動や指摘にちょっと不可解な点を 感じます。確かにバグ報告のための連絡先が明記されていないのは問題ですが、 あとはちょっと考えてしまいますね。Oliver氏によると い ずれこのネタは取り上げる [2ch.net]ようなので、今後真相が明らかになることを 期待します。

開いた括弧は必ず閉じる -- あるプログラマー

処理中...