NHKオンラインはXSS脆弱性てんこ盛り 146
ストーリー by yourCat
XSSより対応に問題 部門より
XSSより対応に問題 部門より
k3c曰く、 "8月20日にセキュリティホールmemo MLに公開された情報 (4743、4744、4745、4746、4747、4752)によれば、NHKオンラインのWebサイト上に設置された複数のスクリプトにクロスサイトスクリプティング (XSS) 脆弱性が存在し、悪意ある他者が設置したリンクやフォームをクリックすることで、NHKオンラインに入力したつもりの個人情報が取得されたり、虚偽の情報を提示される、ユーザの端末に負荷をかける (ブラウザクラッシャ) などの攻撃が可能な状態になっているという。これらの脆弱性はNHKに対して半年前に通知されたにも関わらず放置され続けた。さらに、今回のセキュリティmemo MLへの公開後に修正が行われたが、修正が不十分で未だに脆弱性が残ったままであるという。…そもそもの最初に対応を誤ったせいで、そのままずっと間違った対応を貫く羽目になっているということなのだろうか。早いこと方針を変えたほうがいいと思うのだけど…。
発見者はユーザー側の回避策として、NHKオンラインWebサイトを「制限付きサイト」に登録することを推奨している。"
最大の問題は危機管理意識の無さ (スコア:5, 興味深い)
多分、責任者の体面だけが問題なんでしょう。あるいはNHKが問題のタネになる事を恐れているのか。
Re:最大の問題は危機管理意識の無さ (スコア:2, すばらしい洞察)
といったところではないだろうか。
#気分はAC
Re:最大の問題は危機管理意識の無さ (スコア:2, すばらしい洞察)
見つけたり騒いだりしたのが、マニア(一部の人)であろうとなかろうと、事実はかわらない
…ということを、そろそろ世間の人々も学んで欲しいです。
Re:最大の問題は危機管理意識の無さ (スコア:2, すばらしい洞察)
という認識をここでなんだかんだ言ってても世間の方(特に女性側)
は持っておられると思います。
また、マスコミは正しい、と思っている方も多いんじゃないかと。
マスコミで大々的に発表されなければ所詮はマイナーな話題、と
なりますし。
すごく同意はするんですが難しそうですよね。
はすかわ
Re:最大の問題は危機管理意識の無さ (スコア:1, 興味深い)
どうもマスコミ自体がこの幻想に酔ってる様な気もするな。
っつーか酔い過ぎ。
報道とかに間違いや問題があっても、ほんの数秒のお詫びで済ませる体質がその原因?
Re:最大の問題は危機管理意識の無さ (スコア:2, すばらしい洞察)
Re:最大の問題は危機管理意識の無さ (スコア:1)
じゃぁ何ですか,どんな犯罪でも「たいしたことない、悪いやつが暴れただけですよ」ってことで
報道しないで済ませてくれるんでしょうかねとか,どんな番組でも「たいしたことない、マニアが
見るだけですよ」とか言って放送を何もしないで済ませたりするんでしょうかねと/.Japanに書かさ
れてしまった気がする.
Re:最大の問題は危機管理意識の無さ (スコア:1, 興味深い)
実際n-systec.co.jpの持ち主である日本システック株式会社 [n-systec.co.jp]の会社概要 [n-systec.co.jp]には、取引先としてNHKの名が上がっています。よって日本システック株式会社もNHKから受注していたタコ会社の一つでしょう。
しかし、たとえこういった会社が「たいしたことない」といい訳したりしていたとしても、最終的にもみ消そうとしているのはNHKそのものだと思いますよ。むしろNHKの「脆弱性の対策は終了した」との見切り発車の大本営発表のおかげで、隠蔽工作命令に奔走させられているのが実情じゃないでしょうかね。
それと、実際には続行中の脆弱性修復作業に関して、何故高らかに「終了宣言」が出されたのか全く謎です。まぁ今現在は、とにかく一応報告された全てのXSS脆弱性に対して何らかの処置はとられたようですが。
他力さんの方ではXSS脆弱性ではない、強烈な問題をいくつか発見し(日経を通して?)NHKに報告されていますが(たぶん未公開)、その対応が終了したかどうかは、私の方では確認できていません。
office
Re:最大の問題は危機管理意識の無さ (スコア:1)
もうタネにされてますがな。
国からいっぱい補助金もらって、視聴者から高い受信料とって
(払わない人もいるのに)都合の悪いことは隠ぺいか。
#うちは受信料払っているが、他のCSの合計より高いのが納得できない
Re:最大の問題は危機管理意識の無さ (スコア:1)
虚偽はいけませんねぇ。NHKは国から補助金は一切もらってませんよ。
ゆーへん
交付金の使い道 (スコア:3, 参考になる)
NHKによると、交付金は
だそうで、あくまで国に課せられているお仕事の対価としてもらっているようです。
なんで「補助金を貰ってない」と言っても、あながち間違いではなさそう。
Re:交付金の使い道 (スコア:1)
で、13年度の国際放送の経費 [nhk.or.jp]はラジオ46.3億、テレビ21.9億。
命令放送はラジオのみで、その割合についてはここ [soumu.go.jp]に65時間中の23.5時間とありますから....
46.3億*23.5/65=16.7億
これには政見・経歴放送の費用と人件費を含んでいないので、22億の交付金は決して高いとは言えない。
やはり安いのではないでしょうか。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:交付金の使い道 (スコア:1)
第12条
業務に関連ある調査研究等に対し、交付金、補助金等の収入があるときは、その金額は、調査研究等に関係ある経費の支出に充てることができる。
とあります。 NHK は次世代とかハイビジョンとかデジタルとか、 業務に関連ある調査研究を色々やっているはずですが、 交付金、補助金等を「経費の支出に充てる」のですから、 相殺できるわけですね。 それ以外にも NHK Information [nhk.or.jp]には 平成14年度のアナログ周波数変更対策の実施に対する給付金が、政府予算案の決定で9億円にという記載があります。 ですから、全部は調べきれませんでしたが、 国際放送と政見放送以外にも給付金やら交付金が各種名目で出ている事になります。
Re:交付金の使い道 (スコア:1)
NHKを絶対に見ないでも。と思って googleしてみたところ
こんな [infoseek.co.jp]ページを発見しました。
受信料がらみで、いろいろあるのねぇ…
Re:交付金の使い道 (スコア:1)
放送法32条1項 [e-gov.go.jp]
協会の放送を受信することのできる受信設備を設置した者は、協会とその放送の受信についての契約をしなければならない。ただし、放送の受信を目的としない受信設備又はラジオ放送(音声その他の音響を送る放送であつて、テレビジョン放送及び多重放送に該当しないものをいう。)若しくは多重放送に限り受信することのできる受信設備のみを設置した者については、この限りでない。
Re:交付金の使い道 (スコア:1)
オフトピっぽいけど、引越し時に部屋のアンテナが断線していたのを幸い、
CSだけしか見てなかった時は、徴収員さんに、
「それじゃあ契約いらないかも。NHKに問い合わせて下さい。」
って言われて、電話で話した所、
「それでは解約の書類送りますので。」
で簡単に解約になりました。
その後マンションで全部CATV入れることになり、今では再契約になってますが。
Re:NHKの国からの交付金は平成13年が22億 (スコア:1, 興味深い)
むしろ とか、さらには とまで言う人間の思考様式の方が興味深い。
Re:NHKの国からの交付金は平成13年が22億 (スコア:2, 興味深い)
NHKの持ち出し分は受信料に跳ね返ってくるわけで、受信料を払っている者の立場になると、もっと政府は金出すべきだという結論になるかと思います。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:NHKの国からの交付金は平成13年が22億 (スコア:1)
だいたい、石川県のは文化展の開催費用です。
NHKはタダで四大文明展をしろとおっしゃるのか?
# オフトピすぎるので、このあたりでやめませんか?
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:NHKの国からの交付金は平成13年が22億 (スコア:1)
石川県からの補助金は、NHKへのものではなく、文化展を請け負った業者に対するものでしょう?
ここ [ishikawa.jp]を見れば、文化展の開催業者が1社じゃないってことは、すぐ分かるはず。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:NHKの国からの交付金は平成13年が22億 (スコア:1, 参考になる)
ありゃあ、そうでしたか。
どうもすみません。
> どこか他の掲示板に行ってもらえません?
にゃはは、こんなこと言われちゃった。
でも、謝ったので許してくだいさいね。
ゆーへん
個人モデ (スコア:2, 参考になる)
Re:最大の問題は危機管理意識の無さ (スコア:2, おもしろおかしい)
ちゃんと知ってますよ.
その後の対応 (スコア:2, 興味深い)
NHKがサイトを修正――欠陥問題で [nikkei.co.jp]
というわけで一応修正作業は行われた(脆弱性がなくなったかどうかは不明)様子なのですが、NHKのコメントに曰く、 流出した恐れについてはどう考えておられるのか、お聞きしたいところです。
Re:その後の対応 (スコア:3, おもしろおかしい)
↓
・個人情報などが流出したとしても悪用されるような重大な情報はないので心配は全くないが、今後もサイトの運営には万全の態勢で臨みたい
↓
・個人情報などが流出して悪用されても実害はないと思われるので心配は全くないが、今後もサイトの運営には万全の態勢で臨みたい
↓
・個人情報などが流出し悪用され実害が出ても、被害にあう人は少数と思われるので、多くの方は心配する必要は全くないが、今後もサイトの運営には万全の態勢で臨みたい
↓
・個人情報などが流出し悪用され、多くの方に実害が出ても生命の危険がおびやかされるとかの恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい
↓
・個人情報などが流出し悪用され、多くの方に実害が出て尚且つ生命の危険がおびやかされる事態が発生しても、それはたまたま運が悪かっただけで、今後同じ事が起こる恐れは全くないが、今後もサイトの運営には万全の態勢で臨みたい
↓
・担当者が異動してしまったので詳細がわかりません。
Re:その後の対応 (スコア:1)
Apache/1.3.6 Server at nhk1.n-systec.co.jp Port 80
なんてバージョンを使っているというのも凄すぎる。いずれにせよ NHK は、局として Apache のバージョンは最新のに上げるべきだと判断するだけの能力すら無い事だけは確かなようです。
Re:その後の対応 (スコア:1)
Re:その後の対応 (スコア:1)
昔じゃないと思うんですけどねぇ。
# "あぱっち?何それ軍用ヘリ [army-technology.com]?"てな感じなのだろうか。
NHK みたいな立場で (スコア:2, おもしろおかしい)
こういうタコなことをやってると、
なんて風評がたつんじゃないかねぇ。それがイヤ。組織的には
というスタンスだったんだろうし、それで目一杯地雷を 踏みつけたわけだよね。まぁ、既存メディアに棲息しておられる優秀な方々には、 IT というメタなメディアが丸っきし見えてないという ことが、また一つ証明されたということですな。
--- Toshiboumi bugbird Ohta
Re:NHK みたいな立場で (スコア:1)
>なんて風評がたつんじゃないかねぇ。それがイヤ。
Internetという(考えようによっては)ライバルを、
FUD(?)する一助になったかな、とか思っていたりはしないだろうか?>NHK
折り良く(悪く?)、例の番組「変革の世紀」では、
内容的にもメタ的にもInternetの存在を意識したり依存したり
しまくっているNHKですが、腹の底はどう"思って"いるのやら…
余談:
昔はNHKを入れれば(他局より)落ち着いたもんだったが、最近のNHKは「BS(デジタルも)という製品」のCMが五月蝿くて…。
なんか近年、NHKのノリって、いまいちになってきたような気がする。
認識不足なのでは (スコア:1)
推測ですが、「認識が足りない」状態なのだと思います。
“思う”以前の段階なのではないかとちょっとかなり心配。
というのは、2年ほど前ですが、NHKで放映されていたある番組の情報を流してくれる
メールマガジンに購読登録していたところ、ありがちな“参加者の全メールアドレスを
参加者に流してしまう”というコトが起きたのですが、全く誠意の感じられないさらっと
した謝罪メールが来て、かなり不安感が増した経験があります。「なんでこんなこと
ぐらいでクレームが来るんだろう」と思っているのではないかと勘ぐってしまったほど。
これでは、個人情報の管理に対する意識も実質的なところでは薄いだろうと感じ、以来、
NHK関係のシステムには個人情報を登録しないようにして様子見モードに入ってました。
そろそろそういう意識も改善されて来たかなと思っていたのですがまだなのかな...
思うにNHKは、Internetの表向きの面には敏感であり、とらえ方も悪くないのだけれども、
地道な面というか、非常に基本的で大切なところをしっかりみつめていないのではないかと。
そういったところを大切にする良さがNHKにはあると思っているのですが、Internet関連に
ついてはこれまでのやり方が通用していないのかもしれませんね。NHKが本来持っている
良さを、こういうところにも発揮して欲しいところです。
Re:認識不足なのでは (スコア:1)
おざなりにしてるじゃないですか。
そういう部分が上から末端まで染みてて多少麻痺してるんじゃ
ないでしょうか?
基本的なところで悪いと思ってないのかもしれないですね…。
はすかわ
モデレート(オフトピ) (スコア:2, 興味深い)
適切なら別にいいけどあえて-1になる場合ば多いような気がします。
確かに+1しに値しないのも多いがだからと言って無闇に-1するのはどうかと思う
何度かモデレータしているが値しないなら何もしないのも選択の一つだよ。
会社のストレスをここで吐き出すような考えなら一呼吸してからモデレートして下さい。
-1の確率が多いとACが増えると思うが…
AC増えると2ch化すると思われ
初めから番組の補足的な扱いで管理者不在な状態で運営されていたって感じはしますけど。
今まで漏れた所の共通すると思いませんか?
甘いと言われればそれまででしょう、漏れるなら初めから
それを想定して書き込みを行うのも自衛手段でありユーザの選択ではないかと
ハンドルネームを使う、フリーのセカンドメールアドレスを使うとかね。
#クレジットカード等扱うような場所は叩いた方がいいけど
あまり叩き過ぎると余計に窮屈な思いをするに1000点
Web上、至るところに地雷あり (スコア:1, 興味深い)
もし全てのサイト管理者が良心的で積極的にセキュリティー対策を行うとしても、捌ききれない地雷は必ずあると考えておくしかない。
いわんや、現実上では、ね。
このまま大問題になって (スコア:1)
食品問題みたいに、どの企業も大慌てになるのかなぁ
NHKといえば、銀河通信というのがあったなぁ (スコア:1)
いればなんということもなかったという、今から考えると牧歌的な運営
していて、そんな意識が抜けてなかったのかなぁ・・・なんて思ったりして。
ネットとか、技術に関してはそれなりの先取の姿勢があっただけに、
報道が事実ならちょっと残念。
--- 天婦羅★三杯酢 temp@sunbuys.co.jp ---
Re:銀河通信 (スコア:2, 興味深い)
そういう意味では、さもありなん、とゆーか。
Re:これはもう (スコア:3, すばらしい洞察)
「セキュリティやユーザのプライバシーを保護しない」ことが 金銭的損失につながるかどうか、ということも大きいと思っています。 政府はポカをやったところで税金を得られなくなるわけではないし、 選挙のさいに主要な争点となるわけでもないだろうし。 NHKの場合、受信料収入は影響受けないでしょうからね (これにからめて支払拒否運動をやったところで誤差でしょう)。
Re:これはもう (スコア:1)
大きな被害が数回起きてからでもないと腰を上げるつもりは全くないと
何か大きな問題が起こってから遅いなんて事は分かり切っている筈
なのですが。第一、法律とか論議とか時間のかかる事をしてるわけ
ではないし、CGIを直すだけの事も出来ずにITとか言わないで
欲しいような。
# アビバとかTBCの情報漏れの話も数ヶ月以内の話だと
# 思うんだけど...(NHKの話はこっちより数倍ヤバイはず)。
# ま、まさか、"どうせ受信料なんか誰も自主的に払いやしないから別に
# 直さなくてもいいやー"というのがNHKの見解かっ。(゚Д゚ )ハッ!
NHKは (スコア:1)
Re:これはもう (スコア:2, 参考になる)
バッファー・オーバーフローと同じで、XSSもちょっとしたヒューマン・エラーで起こります。簡単にはなくならないでしょう。なくす努力ももちろん必要ですが、見つかったXSS脆弱性に対しどう対応すればいいのかを社会全体で学んでいくことも大事です。その過程のひとつとして、問題解決を早くする騒ぎ方を一緒に模索しましょう。これもその経験値の1つと考えています。
Re:OT(Re:これはもう) (スコア:1)
Re:無関係かもしれないけど (スコア:3, すばらしい洞察)
# 個人情報保護に対するその姿勢が問題なのであって、今回の問題については受信料とか国の補助金とかはあまり重要なファクターではないように思います。
Re:無関係かもしれないけど (スコア:1, 興味深い)
> あまり重要なファクターではないように思います。
民間企業にだって、この種の指摘への対応が酷いところが多いと
聞きますが、これほどまでに叩かれた例を見ないような。なぜ
なんだろう。
Re:無関係かもしれないけど (スコア:1)
> 聞きますが、これほどまでに叩かれた例を見ないような。なぜ
> なんだろう。
え?なぜこれがフレームの元?
NHKというブランドが持つ信頼度によって
XSS脆弱性による危険性が大きいものになっているのにもかかわらず、
真摯な対応を取ろうとしないという所が大きいのかもしれません。
多くの人から信頼されているところは信頼されているなりの対応をとって欲しい、
という願いの反動なのでは。
Re:無関係かもしれないけど (スコア:2, すばらしい洞察)
へたすると逆ギレして
「NHKとしては視聴者の皆さんの貴重な意見を頂戴して
よりよい番組作りに反映する所存でしたが、一部の心無い
方々の行動により残念ながら一切のサービスを停止する事
となりました。」とかいって閉鎖しちゃいそう。
Re:三点リーダ (スコア:1)
まぁ、どっちにしろ「三点リーダ 使い方」でGoogle検索すると大量にその手の解説ページにあたりますね。中黒で絞り込むとよりはっきりするかと。
世間の同人小説家・ネット小説家には、いかに作法を知らずに書いてるのが多いかってのがよくわかります(笑)。
ぶっちゃけた話、中黒は列挙用なのでそもそも二つ以上連続して使うことはありえないんじゃないかと思います。
SourceForge.net (スコア:1)
office
Re:またこの人たち? (スコア:1, すばらしい洞察)
>ということと、
>2.それを暴いてそのサイトに自分の影響力があるんだ、という「自己満足」を得る。
>ということは別のこと。
確かにその通りなんですけど、今回の場合は報告者がいくら連絡入れても無しのつぶて。
危険度も比較的高め。
その他NHKの対応が悪すぎるので、被害者が出ない(増えない)うちに公開したって所のようです。
それを『「人のため」とか言いつつ、自分のことしか実は考えていない』とか断言してるのは不見識極まりないですな。
>少しはオトナになったほうがいいね。
大人になるってのは、被害者が出るのを見逃してNHKを擁護するってことなんでしょうか?
なんかなぁ (スコア:2, すばらしい洞察)