noneの日記: XSS
日記 by
none
XSSについて脆弱性を発見した場合
・メールで脆弱性について伝える。
という方法がベター(電話ならベスト)である。
しかしながら、企業の対応はまちまちである。
1.無視をする
まだ貴方しか知らないんだからほっとこう
2.逆切れ
金でもゆすろうって言うのか?
不正アクセスで訴えるぞ!
3.黙っててください
状況把握しました、でも変え(られ)ないので黙っていれば誰にもばれません
4.即座に修正する
こりゃやばい、ありがとう直しておきます。
おおよその対応は1,3である
この場合このメールはほぼ意味を成さない。
2の場合己の社会的立場を危うくする場合がある。
4の場合はかなりまれなケースである
だからまずありえない
ここで問題になるのは
・企業が集めたデータを保全をする義務が無いということ
→つまり外部からアクセスされた場合不正アクセス法で訴えればいい
物騒な話である。
セキュリティーが確保されているか安心できなければ迂闊にアンケートにも答えられない世の中です。
しかも穴だらけのシステムを堂々と使っていても問題ないと来ている・・・ばかげていると思いませんか?
ここで問題となるのは脆弱性=不正アクセスと取られる点である!
これが法的に何とかサーバ側の義務と成らないのだろうか?
XSS More ログイン