パスワードを忘れた? アカウント作成

サイトの脆弱性発見

投票結果を表示しています。
見なかったことにする
  1098 票 / 43%
セキュリティーサイトへタレこむ
  197 票 / 7%
お子様用スクリプトを流通させる
  163 票 / 6%
消費者センターへ相談する
  62 票 / 2%
サイトへメールで報告する
  459 票 / 18%
似たサイトを探す
  111 票 / 4%
弁護士を探す
  127 票 / 5%
noneを威力業務妨害で訴える
  300 票 / 11%
合計 2517 票
投票所 | 他の国民投票
  • 選択肢が少なくても文句禁止。だって、そもそもがジョークだし、場所は有限だし、選択肢を決めるのに事前投票なんてできないから。
  • なんか良い投票ネタがあったら是非タレコんでくれ(国民投票用と明記)。毎回かなり悩みまくりなんだな、これが。ぶつぶつ言わずに助けてくれよぅ。
  • この投票はとってもテキトーだ。四捨五入の誤差、投票マニア、ダイナミックなIP、 システムのバグ、プロキシーやファイヤウォールなんて考慮しちゃいない。統計だと思って このデータを大事な事に流用しようと思うなら小学校からやり直しましょう。

最新の国民投票

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by nandabe (2412) on 2004年02月04日 17時55分 (#488480)
    私の業務はWebサイトのマネージャーだったりします(^_^;)
    ただ、サーバー管理者ではなく、自部門のWebコンテンツの
    担当者と言った方が正解かと思います。
    HTML書くこともありますが、多くは外注に出す作業指示と
    チェックです。

    さて、サポート対応窓口に、サイトに関する問い合わせが
    入信した場合、私の所にダイレクトで連絡が入るように
    なってます。

    ただ、今までサイトの脆弱性を指摘するような連絡ってのは
    無いですね。

    多いのは、

    ・誤字脱字の指摘
    ・リンク切れの指摘

    です。

    それらについても、鬼の首を取ったかのように大々的に
    指摘してくる人たちが多いのも事実です(^_^;)

    #指摘される前に、修正作業していたときの一瞬を
     突かれた(^_^;)
    --
    ======= nandabe =======
    • by makoto-k (12526) on 2004年02月05日 0時13分 (#488877)
      > それらについても、鬼の首を取ったかのように大々的に
      > 指摘してくる人たちが多いのも事実です(^_^;)

      とはいえ、指摘がありがたいこともあります。
      すくなくとも、私は歓迎します(バグはないように努力してますが)。

      以前、Office氏からXSSの脆弱性指摘のメールを受けたこと [srad.jp]があり
      ますが、その経験からの想像では、今回のようなことになったのは、
      彼のやり方がマズかっただけではないでしょうか。

      私が受け取った、彼のメールは、期限を切って対応状況を一般に公開
      するという脅迫めいたもので(サイトの信用を人質に取られているよう
      なもんです)、相手によっては、個人情報を暴露するまでしなくとも、
      司法に訴えるなどのことを考えるでしょう。

      ようするに、みんな大人として、ちゃんとしたコミュニケーションを
      とりましょうよ。ということかと。
      もちろん、Office氏のような事例が発生してしまった以上、セキュリ
      ティホールを指摘する側としては、相手を見てやらないと、痛い目に
      合うリスクは高くなってしまったわけですが。
      親コメント
    • by Anonymous Coward on 2004年02月04日 23時20分 (#488836)
      >それらについても、鬼の首を取ったかのように大々的に
      >指摘してくる人たちが多いのも事実です(^_^;)

      そう言われるんだろうなと思って、いつも無視する事にしてます。
      リング切れ以上であっても。

      ただ一度、好きな品物を扱ってるネットショップで、買いもののついでに JavaScript のバグ取りした事はあります。
      自覚した上でどうにも取れないバグだったらしく、長文メールをもらった挙げ句、扱ってるブランドのメモ帳とシャーペンをもらいました。

      要約すると、好きなサイトのそれなりの欠陥は、できるだけ知らせて(できれば改善策も)、それ以外は無視と。
      この辺、サイトに限らずバグ全般の扱いと変わらないかも。
      親コメント
  • 場合わけ (スコア:2, 参考になる)

    by TxG (7966) on 2004年02月04日 19時05分 (#488578)
    脆弱性ってどこかのディレクトリに裸で置いてあるようなものも含むかどうか分かりませんが…

    1.見えてはいけないhogehoge.datが(CGIを叩くでもなく)設定ミスで丸見えだ
    →メールで報告(いくらなんでもこれはOKでそ)

    2.一般に配布されているスクリプトに脆弱性
    →作者に報告

    3.その他
    さわらない。いじらない。つつかない。

    コードを書いてるのはまともなプログラマばかりじゃないこともよーーーーくわかっているので怖すぎて触れません。

    #noneを威力業務妨害で訴えます!
  • 見つけたときは (スコア:2, 参考になる)

    by Futaro (2025) on 2004年02月04日 21時14分 (#488705) ホームページ 日記
    実際、偶然ですが某巨大ECサイトでそれらしきものをみつけてしまったときは、サイトの管理者に連絡したことがありました。向こうの丁寧な対応には非常に共感がもてました。私は発見に至ったいきさつと、実際に起こった事実の報告とこれからの対処方法などを言いましたが、その後はちゃんと直っていました。でもこれ、5年くらい前の話。

    いまなら、完全になにも言わないでしょうね。officeこと河合容疑者の件が公になってしまいましたから、何をされるかわかったものじゃない。
  • そこそこの数を得ているのが皮肉が効いてていいなぁ。
    (私もそこへ投票したんんですけど…)
    やっぱ今回の事件のもう1つの肝は「それって威力業務妨害なのっ?」でしょう。お前のところに問題なければサイト閉鎖しなくてもいいじゃないかって…。
    --
    ちどりの「ち」きっての「き」…
    • by none (16325) on 2004年02月05日 9時44分 (#489157) 日記
      タイムリーに国民投票にたれこんで見ました。
      やっぱりこういう問題は仕事柄気になるもので・・・
      投票結果があてになるわけではないのですが、大体想像通りの結果です。

      危惧していることがひとつあります。
      この件がこの後起こる同様な事件において先例として用いられることです。

      それを考えると見てみぬふりが堅実かも
      --
      有無自在
      親コメント
  • 見つけたことない。

    …私はアレゲ度が足りないのでしょうか。
    • 私も発見した事ないです^^;

      でも、発見しちゃったら、と思うと恐いですね。
      発見 -> 連絡 -> 閉鎖 -> 威力業務妨害 というメソッドが確立されつつあるわけですから。
      閉鎖させずに改善してもらえないと威力業務妨害なんですかねえ。難しいなあ。

      自分がそのサイトなりソフトウェアの顧客で、自分自身が危険に晒されてる状況なら大丈夫なんでしょうが。

      てことは素人しか相手にしない商売してれば、セキュリティコストをゼロにしても損はないのか……。
      親コメント
    • by zeissmania (3689) on 2004年02月04日 18時47分 (#488553)
      発見するような努力をしてないので、見たことはない....と言いたいけど、Index表示を有効にしていてかつindex.htmlなんかがない場所に、色々とやばそうなファイルを置いてあるのを見たことが何度か....。
      親コメント
      • by KAMUI (3084) on 2004年02月04日 19時36分 (#488610) 日記
        何年か前の首相官邸がそ~ゆ~状態と違ったっけ?
        ある時,何気に官邸の画像置いてるディレクトリを
        直に開いてみたら中身丸見えでした。

        まぁ,置いてあったのも写真とかで
        別に怪しげなものはなかったと記憶してますけど。
        それから3日くらいしたらアクセス制限が掛かってたのは
        やっぱりチェックしてたからだろうか?

        多分,Netscape Navigator 3 全盛の頃だと思う。

        #勝手に時効と決めたので ID。
        親コメント
        • > まぁ,置いてあったのも写真とかで
          > 別に怪しげなものはなかったと記憶してますけど。

          首相官邸サイトについては、別の奥深いところには
          首相の一日のスケジュールを入力するフォームがあることが
          ぁゃιぃ掲示板で紹介されていました。

          もし誰かが勝手なスケジュールを組んで書き換えていたら新聞沙汰になっていたことでしょう。
          昔の人はそこまで無謀じゃなかったということかな。
          親コメント
    • もうどこかは忘れましたが、見たことがあります。
      その時は「アフォな管理者がおるもんやなぁ」と思ってほっておきましたが。

      もし今見つけたら、記念に何か残しそうな自分がコワイ。

      「見るなと言われたら見たくなる精神?」

      #イザナギノミコトだっけか?
      #忘れた。すみません。
      親コメント
    • by Anonymous Coward on 2004年02月04日 20時04分 (#488644)
      お役所主導のサイトに入って、検索フォームにスクリプト言語
      の特殊文字を入れたり、クォートを入れたりすると思いのほか
      大漁だったりです。
      あと、namazu使ってて、バグ放置なんて当り前なので、
      namazu見付けたらとりあえず決まりのパターンをやってみる。
      親コメント
    • そこの関連に知り合いが居てれば、「脆弱性が有りましたよ。」と報告するかもしれないです。
      親コメント
    • 俺も見つけたことない。

      見つけたら2ちゃんか/.にタレこもうと目論んでるのですが、やっぱ捕まりますよね。
      --
      1を聞いて0を知れ!
      親コメント
    • by Anonymous Coward on 2004年02月05日 14時04分 (#489363)
       脆弱性ではないですが、いわゆる意地悪チェックはよく実施してます。
       ID/Passwordの登録欄に、記号類“"'$%&()\”を入れたり、コピペで制御コード/日本語/UNICODE記号を強制入力すると、ポロッと異常終了します。
       で、検証が甘いサイトではその後継続処理したり、リロードするといろいろな現象が発生します。
       webサーバ側で対処してもdbサーバ側で落ちたりするので、%\"'類は要チェック!

      #で、パスワード変更できませーんとか指摘すると逆ギレするサイトも結構多い
      #/.Jも有るけど放置しているよね > 運営
      親コメント
  • by znc (2768) on 2004年02月04日 18時15分 (#488515)
    インターネット上のサーバのセキュリティ関係の仕事を
    続けているため,少なくても無視は出来ない体に…

    といってもまだ見つけた事は無いのですが __o_
    --
    『今日の屈辱に耐え明日の為に生きるのが男だ』
    宇宙戦艦 ヤマト 艦長 沖田十三氏談
    2006/06/23 JPN 1 - 4 BRA
  • by doggie (6061) on 2004年02月04日 18時58分 (#488571) ホームページ

    そういえば、今年度秋期の受講した大学の講義(情報科目)で使われている出欠登録スクリプトに XSS 脆弱性がありました。だからと言って何も(事実を伝えたり、もしくはイタズラしたりも)しませんでしたが...

    Takeshi HASEGAWA

  • by parsley (5772) on 2004年02月04日 19時19分 (#488598) 日記
    今日まで暖めてきたネタですか?
    --
    Copyright (c) 2001-2014 Parsley, All rights reserved.
  • by tamago915 (19926) on 2004年02月04日 19時21分 (#488602) 日記
    Office 氏逮捕のタレコミ [srad.jp]にもコメントがあったと思いますが、セキュリティ業界団体があれば、そこに持って行けます。

    その団体の活動として、各サイトの脆弱性を検出し、その際には不正アクセス禁止法は適用されないものとする、のようにしておけば、みんなが幸せになりやすいと思うのですが。

    プライバシーマーク事務局 [privacymark.jp] ってのもあるし、ここの業務と絡めていってもいいんじゃないかなあ。
    • by ticky (17030) on 2004年02月04日 19時54分 (#488628) 日記
      >セキュリティ業界団体があれば、そこに持って行けます。

      今となっては、サーバを持っている企業って、とてもたくさんありますよね。

      業界団体よりも、国がしっかりした指針を持って組織を設置した方がいいと思います。

      (ちょっと前にも、総務省と経産省の情報政策部門を統合するとかしないとかいう話がありましたけど)
      親コメント
  • 先日,じゅんび中のサイトにアクセスして,
    「着せ替え用制服(白バージョン)付き」
    という情報を不正に入手してしまいました。

    ど,どうしたらいいんでしょうか。

    あと,slashdotted しちゃったら威力業務妨害になるの? とか。
    --
    斜点是不是先進的先端的鉄道部長的…有信心
  • 毎週定期的に更新しているサイトさんがあったんだ。
    土曜の夜に更新するのだけど、たまに金曜や木曜あ
    たりにソースを見てみると、コメントに次の更新
    データがあったりして...そういったのも脆弱性か
    な?

    もし、これが脆弱性なら、わたしのその時の対応は、
    「だまって週末分をチェックしていた」ということで..;-)
  • 数年前、WEBアプリの開発に関わっていたことがあります。
    といっても、メインではなくてテスター要員でしたが。

    開発途中、セキュリティ上の問題点(パスワード丸見え)を発見、開発担当にタレコミました。
    翌日あたりに直してくれました。



    数ヶ月後、マイナーチェンジしたバージョンが出ました。…………復活してやがる。

    # どんなWEBアプリだったかは、絶対秘密。
    --
    *-----------------------*
    -- ウソ八百検索エンジン --
  • by ihsekat (18259) on 2004年02月04日 22時16分 (#488760)
    http://www.tcp-ip.or.jp/~ttakeo/GNUSinrikyou.html より

    「例えば、A さんのコードにバグが有ったとしよう。」
    「この A さんのコードを使い続ける事によって予想不能な程の損失が発生するだろう。」
    「この時、この A さんがオリジナリティを主張して、自分のコードに絶対に触られたくないとしても、そのコードに改修を加えるのは、善業だろうか、悪業だろうか。」
    「これは善業です。この事によって、A さんも、A さんのコードを使う人々も利益を得る事ができます。」
    「愛と知恵が我々を善業に導くのです。」

    管理者に告知する事の何がいけないのでしょう?

    Office氏の事件にしたって、 個人情報を勝手に出した所くらいしか落ち度は無いように見えませんし。

    で、サイトへメールで報告する に投票。
    • by RST (17992) on 2004年02月05日 0時35分 (#488898)
      「落ち度は無いようにみえますし」、でしょうか。
      しかし実際、穴があるかどうか試してみたら法律に触れますし、逮捕は可能でしょう。
      どこかにいる誰かさんの良識に身を委ねるのは正直ちょっと怖い場合もままあるので、私は放置派です。
      親コメント
  • 数年前、大学の学生用端末のログインシステムがやばそうなのに気付いたけれど結局放置。
    システムが色々変わったので今でも有効なのか分からないが。

    今思い出したから、通報しようかな。

    こんな風に、サイト以外でもその脆弱性に気付いた人って結構いるんじゃないかなぁ。

  • by alp (1425) on 2004年02月04日 22時54分 (#488810) ホームページ 日記
    まず自分と自分の関連の人の情報を全部そこから引き上げる、が最初でしょう。ほかに何するにしても、その後。自分に迷惑さえかからなければ、そのサイトが火だるまになっても知ったことかと嘯く、というのが善良な市民の取る道のようですし。
  • 他人事で薮蛇つんつんして暴れられるリスク背負うだけ無駄だし。
    そんなことより、人の振り見て我が振り直せ。
    自分のところで同じミスがないかチェックする。
    --

    --
    Ath'r'onならfloatあたりに自信が持てます
  • 仕事のネタにしなきゃ…
    --

    /* Kachou Utumi
    I'm Not Rich... */
  • 1.見なかったことにする。
    2.警察に連絡する。
    3.ひとっ走りしてみる。
    4.業者に売る。
    5.「キー挿しっぱなしですよ」と大きく張り紙をはる。

    これもやっぱり、1だなあ。
  • だれかがエントリーフォームで ! から始まるエントリを /bin/sh に渡すという処理を入れているのを見つけました。 開発者に説明しても直してくれなかったので、システムの説明会の時にその話をしたら、それ以降説明会は開かれなくなりました。 テキストを入力しても ! 以降は無視されて時には core dumped とかいう不思議なメッセージが表示されるのでおかしいなと思ったら ..
  • by Anonymous Coward on 2004年02月05日 9時47分 (#489164)
    脆弱性?を見つけて、かなり大っぴらな方法で公開しちゃったことがあります。
    とあるウェブを使ったオンラインストレージサービスで、利用者向けに公開している掲示板システムでその脆弱性を思いっきり公開してしまいました(表向きは管理者への質問・要望という形式で)。確かその直後、半日ぐらいシステムの停止期間があって、その穴は改善されたと記憶しています。今にして思えば、威力業務妨害で訴えられてたりしてたかもと考えると、背筋がぞぉ~っとしますね。

    ・そのサービスが立ち上げられたばかりだったこと
    ・私も利用者の一人であったこと
    とかで見逃してもらえたのでしょうか?

    今後似たようなことがあったら、脆弱性の報告なんかしないで、さっさとそのサービスから手を引くだろうなぁ。

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...