アカウント名:
パスワード:
>私: 私としては、SQLインジェクションもディレクトリトラバーサルも、>緊急事態だとは思わなかったのですよ。なぜなら、うちのサイボウズを>使っている他のユーザたちが、ログインしたうえでSQLインジェクションや>ディレクトリトラバーサルで攻撃するなんてことは、ないだろうと思ったからです。>サ: はい。>私: だから、最新版に入れ替える必要はないと思いましたよ。>ところが、日経BPの記事を読むと、ログインしていなくても>ユーザの名前が見えてしまう別の脆弱性もあるのだと。>これで初めて、緊急事態だと思いましたが、あなたがたが>告知しないから、この事態に気づかないままになるところでしたよ?(高木浩光@自宅の日記より引用)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
あーあ (スコア:5, すばらしい洞察)
イントラネットでの使用だから、外部から攻撃を受ける可能性は低い。
(うちでサイボウズ製品使っていることを知っていて、その鯖のIPアドレスなり
URLを把握しているなり取得するなどしててユーザーに攻撃プログラムを
実行させるというのはそれなりに面倒)
だから、緊急で対応する必要はなく、そのうちヒマを見て対応すればいいでしょう。
と、セキュリティー部門責任者(非技術者)に回答したわけで。
----
サイボウズ社の対応を一言で表現するなら「泥縄」。
全く改善しないよりはマシだけど、高木氏に指摘されたときに
素直にごめんなさい改善しますってやればいいのに
そこで突っぱねておいて、騒ぎになってからあわてて取り繕うのは
非常に見苦しい。
まず、脆弱性をユーザーが分かるように告知しないとした
セキュリティポリシーがクソ。
次に、「お客様対応責任者」が自分の権限において高木氏の
提案を却下することにしたなら、この人も無能。
ただの会社のスピーカーはいらない。
他の責任部署とかけあってやっぱダメとなったなら、会社がクソ。
こんなんだと、多分またそのうち同じことをやるんじゃないですかね。
さらに、サイボウズ社の言っていることはあまり信用できないから
ホントのところはもっとヤバい修正を履歴にすらのせずに
内緒でしているかも知れないって疑いもでてきますわな。
Re:あーあ (スコア:3, 参考になる)
いうツッコミはナシの方向で。
Re:あーあ (スコア:0, フレームのもと)
ログイン画面の名前メニューにずらーっと(w
サイボウズなページが外から見えるようになってる会社もあるし(w