XSSを報告したためにインターネット接続を止められるという事案発生 170
ストーリー by hylom
さてどうなるか 部門より
さてどうなるか 部門より
XSS問題などのセキュリティ関連を多く発見・通報していたことで一部ではよく知られるMasato Kinugawa氏が、とあるサイトでのXSS発見と報告が原因でインターネット接続を止められていたそうだ(氏のブログ)。
報告先サイトからISPに対し「不正アクセスを行った」と通報がされたそうで、ISP側には「こういった行為をしないという誓約書を書かなければいけない」という事態になったそうだ。サービス提供者に事情を説明するも、「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」ということで通報を撤回するつもりはないという。氏はこの件について、
かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。
と、サービス提供者側に苦言を呈している。
Masato Kinugawa氏の功績 (スコア:5, 参考になる)
The "0x0A List" – Application Security – Google
http://www.google.com/about/appsecurity/hall-of-fame/ [google.com]
2位の方のようです。
それは同一人物なのでしょうか? (スコア:2)
0x0A Listに載るってのはすごいことです.
ただそのListに載っている Masato Kinugawa さんと
今回インターネット接続を止められた Masato Kinugawaさんが同一人物である保証がありません.
別スレッドでも議論されていますが
不正アクセスとそうでないアクセス,クラッカーとハッカーの線引きは
現状ではすごく難しいです.
こういう現状を考えると,Securityの専門家もそろそろ医者のような国家資格にすべきだと思います.
国が免許証を発行できれば,それで Masato Kinugawaさんの身分と能力が保証できますし,
不正アクセスの線引きもかなり明確になると思います.
Re:それは同一人物なのでしょうか? (スコア:1)
普通でないアクセスをするのであれば、アクセス先の許可を得て行えばよいと思います。
Twitterだと (スコア:5, 参考になる)
Twitterだと、どうぞ試してください、どうぞ報告してください、
報告してくれた人には敬意を表しますって感じなのにね。
Googleも脆弱性報告者には何千ドルっていう報奨金制度あるし。
Twitter でのセキュリティ [twitter.com]
この人毎年名前のってるね。
May the source be with you... always.
改竄被害サイトへの通報 (スコア:2, 興味深い)
改竄されたサイトが最近は非常に多いですよね。
VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。
愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。
そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。
脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。
改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。
通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。
Re:改竄被害サイトへの通報 (スコア:1)
ACCS事件から何も学んでいないんですね。
あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。
自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
Re:改竄被害サイトへの通報 (スコア:4, 参考になる)
GoogleやTwitterへの報告については自己顕示的な部分があるかとは思うけれど、それはさておき。
問題を最初にセキュリティカンファレンスで公開したoffice氏の経緯 [geocities.jp]と、
内密にサービス提供者へ情報を提供し、恐らくプロバイダの件がなければ特に表沙汰になることはなかっただろう今回の経緯は、
「技術的な顕示欲」という点で同一視ができるとは到底思えないのだが。
発見した問題を内密に報告するというのは単純に善行だと思うのだけれど、
その行為に対して「インターネット接続環境の停止」という形で返事があったことに対して企業名を出すのは、
懲罰的・報復的ではあるとは思うが、自己顕示的と言えるかどうか。
> 悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
この一文だけはとても同意するけれど。
Re:改竄被害サイトへの通報 (スコア:3)
> ACCS事件から何も学んでいないんですね。
> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
その自己顕示欲とは、欠陥を突いて入手した情報を第三者に見せびらかした行為のこと。もちろん、感情だけで犯罪を構成することはない。
実際に有罪とされた行為は、CGIの欠陥を突くことで、ftpサーバに対するログインを回避して情報を入手した行為。
今回はログインを回避して情報を取得したわけではなく、当事者に報告しただけ。それなのに対応が酷いから「ベネッセさん」と書いて批判した。
当事者(サービス提供者)に欠陥を報告する行為がすべて犯罪になるのでは、多くの善意が期待できなくなり、刑法を根本から変えてしまう。
(お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)
Re:改竄被害サイトへの通報 (スコア:2)
技術的な顕示欲、いいことではありませんか。何が悪いんでしょうか?
検察が動機の説明に「顕示欲から」と書くのには問題はないと思いますが、
別にその「顕示欲」自体が罪になったわけではないでしょう。
ACCSの裁判での用法は、行った内容(不正アクセス)に対する量刑を補強するファクターでしかありません。
「独善性」(他人の不利益をかえりみず)という言葉を考えてみてください。
例えば食物を摂取することには他人の介入する余地はありませんから、
「独善」で普通に飯を食っても罪には問われません。
一方「独善」で「強盗」を働くと、情状酌量の余地がある場合と比べて重い量刑になるでしょう。
でも、それだけです。「独善」自体は罪じゃありません。同様に自己顕示欲も罪ではありません。
あえて言うなら、自己顕示欲は、+-には関わらず、善悪の程度を増減するファクターになるという程度です。
一方今回の内容は個人主義への無理解+主観と客観の混同にすぎません。
人がどんな欲を持とうが、それこそ個人の自由です。
今回の事件でもし「自己顕示欲」が今回の対応の原因になったのなら、
「自己顕示欲は悪」という会社側の勝手な価値観が判断をバイアスさせたのでしょう。
プロバイダが裁判官の真似事をしようとしても、法律を勉強していないのだから間違いを犯すのは当然です。
だから、
> 我々の間で共有している論理が誰にでも通用するわけではない
というふうに控えめに対応する必要は全くない。
その論理はスラドのようなコミュニティだけに通用するものではなく、きちんとした社会では通用して当然の論理です。
なにせ、一般に存在している
> 犯罪の動機として自己顕示欲というのはよくあるものなので、一般的な感覚からするとそのような行動は非常に怪しまれる
という感覚は、「犯罪者の100%は水を飲んでいる。だから水を飲んでいると怪しまれる」ぐらいの誤謬なわけです。
コストは掛かりますが、裁判すれば勝てます。(コストに見合うかという点はさておき)
社会はより良い方向に向かっていますが、まだ野蛮人が残っていたというだけです。
# 正義が勝つにはスゴイ時間がかかりますが、いつかは勝つはずという楽観的な思想。
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
> ACCS事件から何も学んでいないんですね。
> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。
そういう発表の場でやって見せたんですから。
善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。
>自分のことを「善意の報告者」だと思っていても、
Re: (スコア:0)
えーっと...
権限付きの天下り先?
JPCERT CCに連絡しましょう (スコア:1)
こういうアホな企業に直接関わるリスクを避けるためにもJPCERT CC [jpcert.or.jp]を活用しましょう。
Re:JPCERT CCに連絡しましょう (スコア:2)
そこはむしろIPAの脆弱性関連情報の届出 [ipa.go.jp]制度を勧めるべきところでは?
すばらっ! (スコア:1)
こういう素晴らしい対応をするISP、ぜひ利用したいのでどこなのか教えてください!!
Re:すばらっ! (スコア:1)
私の目には、
「このプロバイダを晒し上げろ、絶対使わないから」
って書いてあるようにしか見えなかったのですが、
他のみんなの返信を見ていると、
私の読解力がおかしいのではないかと不安になる。
確認してみた (スコア:1, 参考になる)
記事の内容だけでは対応がタコすぎるので調べてみた。
ただXSS脆弱性を見つけて報告してくれたなら、感謝して修正しておしまいだったのですが、
この話題のひとは、通報後もはひたすら攻撃し続けたらしい。
直してるから待って、というのは聞いてくれなかったようです。
遮断そのものは関わってないですが、通報よりあとのログはISPへ提出したようですよ。
つまり通報があったところに網を張ったら本人がまた来て引っかかった、と。
♯絶対AC
Re:確認してみた (スコア:3, すばらしい洞察)
調べたんならソースも貼ってくださいよ。
通報後もひたすら攻撃し続けたって本当ですか?
Re:確認してみた (スコア:2)
明確におかしい点が二つ。
まず第一に、XSS脆弱性を利用した場合に攻撃対象になるのはサイトやサイト管理者ではなく、書き込んだ情報を見るエンドユーザーだという点。
なにしろ、実際に悪意あるスクリプトが実行されるのはサーバ上ではなく、エンドユーザーのブラウザ上です。ベネッセのWebサーバにはかすかなCPU負荷すら発生しないし、Webサーバ内のデータに不正にアクセスされることもありません。
つまり、ベネッセ側はXSS脆弱性を放置しても、攻撃されることはありえないし、仮に何かが行われていたとしてもわかりません。
第二に、XSS脆弱性があるかどうかを調べるために攻撃をする必要はありません。具体的な動作を一切行わない中身が空っぽのスクリプトを投稿して、スクリプトタグが無効化されているかどうかを確認するだけで事足りるから。
というか、確認のために何らかの攻撃を行うスクリプトを埋め込んでしまうと、確認時に自分が攻撃を受けてしまいます。なので、なにかしたとしても、せいぜいポップアップを出す程度の無害なもの以外にあり得ません。
ここまで理解していれば、↓が明らかな嘘であることはわかりますよね?
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:確認してみた (スコア:2)
ほうほう、なるほど。
つまり、ベネッセは悪意ある動作を何一つ行わない何の変哲もない書き込みを「攻撃」だと称して、本人に事前通達もなくプロバイダにサービスを停止するように要求したというわけですね。
まあ、中の人、もしくはあなたが嘘をついていなければ、の話ですけどね。
ところで、Masato Kinugawa氏のブログの今回の件のエントリによれば、ベネッセさんが不正アクセス情報の取り下げを行ったそうですよ。
攻撃されたというのに不思議なことですね(笑)
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:確認してみた (スコア:2)
その場合、「ベネッセが大タコ」「ISPもタコ」ついでに「元コメ者もそんなことにも気づかない小タコ」
になるだけですので
「元コメがウソ」だけですむソリッドファイターの人の解釈はむしろ人への信頼と優しさに溢れていると思います。
Re:確認してみた (スコア:1)
意味が分からん。
XSSの攻撃シナリオでは、XSSの細工をされたURLへアクセスをするのは、
「攻撃者」じゃなくて「被害者」でしょ?
その理屈からなんで、「被害者」をブロックする対策を行ったの?
っていうかXSSのアクセスが大量にあったって、それは既に
XSSを使った攻撃シナリオに組み込まれていて、細工したURLが
掲示版とかに貼られているからだったりしないの?
「既に攻撃者にサーバを利用されている状態」だったりしないの?
XSSのURLへアクセスしてきたIPアドレスが全て同一で、
それがこの人のIPアドレスだった、ということなんだろうか?
# ソースも何もなく「中の人に聞いた」って書き込みを真に受けても仕方ないけど
# 反論があるなら、そのうちベネッセのサイトに掲載されるかもね
Re:確認してみた (スコア:2)
それ初耳。実際にやる人がいるとは。
http://xkcd.com/327/ [xkcd.com]
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re:正直眉唾物なお話ですが (スコア:1)
というか、これがもし本当に「中の人」の発言だったら、ベネッセの方がヤバい。せっかく教えてもらっても、生かす知識がないんじゃぁ……
a. ベネッセの担当者が糞過ぎて、「感情的不満でしかないもの」を正当化脚色して社外へ漏らしている。
b. 担当ではない人間が、歪んだ愛社精神から伝聞を知ったかぶりで披露し、無知な知人ACが真に受けてしまっている。
c. Masato Kinugawa氏の事が気に入らないACが、XSS脆弱性の何たるかも知らずに創作でテキトー言ってる。
さて、どれだろうか?
大元コメント(#2458770)のAC氏がXSS脆弱性を理解してない事はほぼ確定だと思うので、
氏の言う「調べてみた」については、虚偽であるか、全く不足しているかのどちらかだと言えるだろう。
仮にAC氏が話を聞いたと言う「中の人」が実在していたとしても、このAC氏には、
それがaパターンかbパターンかも区別できないはず。
# 相手が何を言ってるか理解できるだけの予習も無しに話だけ聴いて「調べてみた」とは、
# 何処の全国紙記者様ですか?と言わざるを得ない。一般人はそんな雑な大口叩かない。
http://security.srad.jp/comments.pl?sid=611249&cid=2458816 [srad.jp]
攻撃者ではなく被害者の回線を停止させるマヌケな結果を招きそうですね。
http://security.srad.jp/comments.pl?sid=611249&cid=2458834 [srad.jp]
XSSの細工をされたURLへアクセスをするのは、「攻撃者」じゃなくて「被害者」でしょ?
http://security.srad.jp/comments.pl?sid=611249&cid=2458924 [srad.jp]
その攻撃者が細工したURLを踏んだ無関係の被害者が、ISPから遮断される羽目に陥っていたわけだよね。
↑このあたりのコメントも大元のAC氏には理解できんだろうから補足するけど、XSS脆弱性ってのは、
「第三者がベネッセのふりをして、ベネッセのサイトの利用者を攻撃できる」脆弱性であって、
「ベネッセのサイトそのものを攻撃できる」脆弱性ではないんだよね。
だから、XSS脆弱性検証においてベネッセのサイトを攻撃する事はできない。
ベネッセのサーバログには「サイトが攻撃されている」痕跡は無かったと推測できる。
# ベネッセ側の「攻撃された」と言う自己申告のみ(証拠なし)でISPが動いたことになるため、
# 当然ながら、虚偽の「攻撃された」申告をしたと思われるベネッセだけでなく、
# 確認せずに鵜呑みにしたISPも批判されて然るべき。
それにしても、大元にプラスモデ付いてるのが興味深い。
良識あるモデレータ諸君が「晒し上げのために」この苦しいコメントにプラスしているとは思えないし、
たぶん、ベネッセから本件の火消しを依頼された企業のスタッフ達が、
あれを擁護する事が火消しになると勘違いしたのだろう。
下手に目立つと、/.J以外に発言チャネルを持つ人達の目にも留まってしまうのにねぇ。
そこはマイナスモデで沈めてしまうのが正解だよ。
ベネッセの企業体質 (スコア:1)
■ベネッセしまじろう問題
・当時のひろゆき氏のメルマガ1 [sakura.ne.jp]、その2 [sakura.ne.jp]
>おはようございます。ひろゆきです。
>「ベネッセしまじろう問題」です。
>
>kiwiさんというかたが、ベネッセの了承のもとで「しまじろう」という
>キャラクターのホームページを作っていました。
>ところが、ある日、ベネッセに呼び出されていわれたことが、
>・違法な行為をした事を認める謝罪文
>・ホームページのディレクトリ(ユーザーアカウント)そのものの廃止の約束
>kiwiさんはホームページとメールのアカウントまで取り上げられそうに
>なってしまいました。 ベネッセの了承の元につくっていたのに、
>違法な行為として謝罪文とアカウント停止を要求され、kiwiさんは
>弁護士に相談しました。
>その経緯をみたユーザーがベネッセの「パパママ掲示板」に問い合わせを
>したところ、掲示板の管理者から「事実無根」でkiwiさんが
>違法な行為をしたというレスが来ました。そこで、kiwiさん本人の
>書き込みもあり一触即発の雰囲気のなかベネッセが取った行為は「掲示板の休止」
>そして、6/7昨日からパパママ掲示板はオープンしました。
>そして、「7年生ママさん」という名前で
>「しまじろうの件はどうなったんでしょうか?」
>という書き込みがありましたが、6/8の昼頃に削除されました。
>「子供の教育のこともあり、どうなったのかだけでもおしえてください。」
>という低姿勢なかきこみだったのですが、
>「潰したに決ってるでしょ?いちいち質問すんなよ。うざいから。」
>といったレスなどがついて消滅です。
>
>ベネッセからホームページを削除するように圧力を
>うけたKiWiさんが某新聞社の取材をうけたそうで、記事になるそうです。
>ベネッセ側も臨戦態勢に入ってるようで、前までは掲示板の管理は9時~5時だったのですが、
>現在は休日も徹底管理しています。
>しまじろうの問題はどうなったの?と軽くでも聞こうものなら速攻削除です。
>東芝の問題ほど大きくなるかはわかりませんが、
>新聞社が動いたというのはちょっと面白い方向へ流れていくきっかけになるかもしれませんね。
・内部からの暴露 [ocn.ne.jp]
>私の場合は承諾の上だったという事はヌキにしても、強引な弾圧だったわけですから、
>担当者は会議の趣旨を理解していなかったのでしょうね。
>もし、本当に穏便に説得されたら、私は素直に従ったでしょう。当時、ベネッセに敵対意識は ありませんでしたから。
>こんな事を言ったら、相手がどんな気持ちになるのか考えなかったのでしょうか。
>こういった人の気持ちを考えない自己中心的な思想がベネッセの正体なのでしょう。
>
>事件の少し後、社内の食堂で、お偉方(セクションリーダー)が別の人に私の悪口を言ってたそうです。
>(※1)まず、ここに書きこみしてる人は前前からベネッセが ブラックリストに載せていた人である。
>(※2)この前のこちゃれ会員ONLYのしまじろうのイベントにも 招待していないのにきた。
> そこで、こちゃれだかの社員の人と口論となり、かなりの時間が それで奪われ、その間イベントもできなかった。
> なんとか、会場から連れ出そうとしたのだが、それもできず その現場は、イベント招待者約300人が目撃してしまっている。
>(※3)この人の主張は、全くの誤りであり、いままでもその主張 を見とめてきた覚えはない。
>(※4)社長にこの話をしたところ 激怒され、「裁判をおこしても良い。」といっている。
> これからGWに入ったら、掲示板の管理ができないから、 このページに入れないようにGW期間中は閉鎖する。
>
>※1 ベネッセには、ブラックリストがあるそうです。 どんな基準で載るんでしょうか?
> 私は普通の「客」でしたし、少なくとも当時まではベネッセに 何の迷惑も掛けた覚えはありません。
>※2 これは絶対に私じゃありません。招待されてないのに行った 覚えはないし、トラブルなど起こした事もありません。
> おそらく、 別の人でしょう。迷惑な人は、全部私って事にしているのでしょうか?
>※3 いいえ、その事は法務も認めてます。だから、白紙にしろと言ってきたのでしょ。
> それに、こちらにはその事でベネッセの人とやり取りした手紙がありますよ。
>※4 じゃ、何故起こさないの? それに、ベネッセの主張が正しいなら、 裁判起こすまでもなく、私を黙らせる方法はいくらでもあるでしょう。
>
>この様に、上の立場の人がよく調べもせず、いいかげんな解釈で 物事を見るから、こんな事になったのです。
■ブラック企業大賞 [blogspot.jp]
>3.株式会社ベネッセコーポレーション
>2009年、人事を担当する人財部のなかに「人財部付」という部署が新設された。
>ここに配属された女性社員は、「あなたたちには問題があります。
>受け入れ先を獲得する活動をしなさい」と上司から指示された。電話に出ないように指示され、名刺も持たされなかった。
>社内ネットにもアクセスさせなかった。自分を受け入れてくれる部署をさがす「社内就職活動」をしながら単純作業を
>するように命じられていた。また、他部署をまわって雑用をもらってくることも命じられた。
>仕事の大半は、段ボール箱の片づけや懐中電灯へのテプラ貼りなどの単純作業だった。
>「再教育」は名ばかりで、単純作業をやらせることによって、社内には仕事がなく、退職以外には方法がないと思い込ませる場
>として設置されていた。
>ベネッセ側は、「『人財部付』は従業員の配属先を決めるまでの一時的な配属先。退職を勧めるための場ではない」と主張していた。
>2012年8月、東京地裁立川支部判決(中山典子裁判官)は、
>人財部付が「実質的な退職勧奨の場となっていた疑いが強く、違法な制度」と判断し、
>この部署への異動も「人事権の裁量の範囲を逸脱したもの」として「無効」を言い渡している。
■ベネッセが全面敗訴 “リストラ被差別部署”での社内就活&退職勧奨は「人事権の裁量範囲を逸脱」 [mynewsjapan.com]
>子供の教育を事業の柱に据え、「Benesse=よく生きる」を理念に掲げる会社が、
>“被差別部署”を作って裁判所に違法認定されたことが分かった。
>ベネッセコーポレーションの社員B氏(女性、50代前半)は09年春、人財部付という
>リストラ部署に異動となり、社内就活を命じられた。翌年には降格し年収200万円ダウンとなり、
>「業務支援センター」という、人財部内の新設部署へ。
>そこは懇親会や送別会などにも一切呼ばれず、「人財部担当一覧」という表にも氏名が記載されない被差別部署で、
>社内の各部署を「どさ回り」して雑務を引き受けるよう命じられた。
>B氏は2010年12月、この部署への異動命令取り消しと年収ダウン分の支払いを求め東京地裁に提訴、
>12年6月の一審判決で全面勝訴した後、和解した。
>「人事権の裁量の範囲を逸脱」と断じられた違法リストラ事件を詳報する。
内部で異常がおこっていたかも (スコア:0)
氏のブログで、
>そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
と書いてありますけど、”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、中の人は徹夜とかだったのかもしれませんね。
Re:内部で異常がおこっていたかも (スコア:1)
そんなんでエラーが大量に発生なんて自業自得としか思えないんですが。
というかいずれにせよその人をBANしても何の解決にもならないですよ。
Re:内部で異常がおこっていたかも (スコア:1)
>というかいずれにせよその人をBANしても何の解決にもならないですよ。
は・ら・い・せ
にはなるね(滝クリ風に
なんて優しい天使のようなコなんだろう! (スコア:1)
『SQLインジェクションができない女をアピールせよ』 [hatena.ne.jp]ですね。
「……だって、……だって、SQLインジェクションみたいな重大な脆弱性が見つかったらすぐに対応しないといけないじゃないですかぁっ! 開発者がかわいそですぅ! まだ他の案件終わってないのにぃぃ〜(悲)。髪もトイレで切っているんですよ……」
Re:内部で異常がおこっていたかも (スコア:1)
wikipediaレベルでも十分なのでXSSってものを調べてみては
Re: (スコア:0)
> 中の人は徹夜
徹夜すれば、今回のような無茶苦茶な対応が許されるとでも?
Re: (スコア:0)
XSSって、攻撃者が指定した文字列を、細工したURLをクリックした人の
ブラウザ上で表示させるだけでしょ?
それがなんで
>”僕のブラウザ”ではなんともなくても、内部の処理でエラーが大量に発生、
>中の人は徹夜とかだったのかもしれませんね。
って話になるのか理解できないんですが、誰か説明してくれませんか。
OSコマンドインジェクションと混同してません?
Re:内部で異常がおこっていたかも (スコア:2)
XSSを使って
サーバ内部の処理でエラーが大量発生するように細工したURLやコンテンツを
ブラウザ上に表示するだけですよ.
XSSされた時点で"中の人"は負けている訳で,被害状況の調査や抜本的対処等で忙しくなるのはまあ良くある話だと思います.
Re:内部で異常がおこっていたかも (スコア:1)
タコなアクセス解析ソフト使ってると中の人の所でもアラート発生の可能性がw
#XSSにも永続性(不揮発性?)のがあるんだけど、なんでそうじゃない前提なんだろう?と思う。
Re:これは攻撃 (スコア:2)
エスパーしかインターネット使えないとは、なかなか大変な世の中だな。
Re: (スコア:0)
XSSの場合、鍵はついてないから、何も壊しようがない。
Re: (スコア:0)
そもそも家になんて入ってない。家の前にある看板を眺めているだけだというのに?
Re: (スコア:0)
一応ガイドラインとかあって攻撃にならないよう、疑い段階まで調査して申告するんじゃない?
Re: (スコア:0)
壊した?
壊れていた鍵とか、かかっていない鍵を見つけたレベルだよ。
しかもXSSは侵入じゃないし。
Re:これは攻撃 (スコア:1)
いい加減鍵に例えるのやめろよ。
それはそれ、これはこれ。
Re:これは攻撃 (スコア:1)
じゃあ、鍵じゃなくて葉っぱに例えればいいのかな?
らじゃったのだ
Re: (スコア:0)
ドアノブを回してみたら開いていたので報告したレベル。
不法侵入に当たるかどーかは知らない。。
Re: (スコア:0)
せいぜい隣の家と表札プレートを入れ替える事が可能な事がわかった程度の話です。
Re:これは攻撃 (スコア:1)
鍵なんぞいじっとらんよ
XXSに成功しても、侵入できる訳じゃない
むしろ、侵入する事なく
悪意あるコードを(訪問者に向けて)仕込めるのが
XXSの特徴なのに
Re: (スコア:0)
例えが的はずれだったのを認めましょうよ
そもそも「プライバシーが守られるべき個人の家」のように考えてるのが間違い
Re: (スコア:0)
Re: (スコア:0)
ISPの中の人? それともベネ○セの人かな?
Re: (スコア:0)
この人なんでこんなに馬鹿で無駄な喩えに必死になってるんだろう・・・
意味あるとでも思ってんのかな?
Re:サービス提供者に直接報告すべきではない (スコア:3, すばらしい洞察)
黙ってたらずっと見られたのに、その上司が怒るのも当然ですね。
Re:サービス提供者に直接報告すべきではない (スコア:1)
同性から伝わるようにした方が良かったかもね~
Re:この会社の言い分を信じるには前科多すぎ (スコア:1)
元のコメントは、
ってことで、別に断言しているわけではないですよ。そういう可能性を指摘したという程度でしょう。
LIVE-GON(リベゴン)