アカウント名:
パスワード:
日本じゃ逮捕されてるところだ。それもコーディングを発見どころかブラックボックステストで。ていうかテストですらなくて普通にクローラー動かしただけで。 #librahack
日本国内なら、ここに通報すれば問題ないですよ。http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp]情報処理推進機構:情報セキュリティ:脆弱性関連情報の届出
通報しても半分近くは未修正、未公開のままになるけどね。2012年に届け出のあった脆弱性のうち、44%は未修正です。修正が終わらない限り原則として公開しないので、これらの44%近くの脆弱性が未公開になってます。
まぁちゃんと修正されないのは問題ではありますが、少なくとも通報者が逮捕されるという本末転倒な事は起きませんので。
図書館の蔵書管理システムだかにクローラー回したら逮捕された件についてじゃないですかね
図書館システムの問題は、セキュリティーホールではなくてデータベースのセクションの管理の問題(セッションを閉じていないからセッションタイムアウトまで他がアクセスできなくなる)という致命的な欠陥。
セキュリティーホールではなくてデータアクセスの問題。 http://bluewatersoft.cocolog-nifty.com/blog/2010/09/post-5de9.html [cocolog-nifty.com]
これ護身情報の漏洩もあったみたいだけど
個々の事件を問題にしている訳ではなく、こうすれば逮捕されずに通報できますよというだけの事です。あなたの言っていることが正しいのはわかってます。
多分返答する場所間違えてるね。それたぶんあなたに対する擁護だよ。
あえて問題点をつくテストですらなくクロールしただけで、だから問題としてはより広範囲になってるから。
「セキュリティホールを突いたら逮捕」、が 「存在さえ知らない何らかバグをついたら逮捕」に対象領域が拡張されてるから問題として含んでる。
そもそも、バグがあるとも知らないのに通報出来るわけ無いでしょ。ましてやセキュリティホールでないわけだし。
『「ずさんなコーディング」を発見して退学処分を受けた学生』なんだから『ずさんなコーディング』なら『セキュリティホール』でも『DBセッションの取り扱いの問題』でもかわんないでしょ。個々の事件を問題にしているわけでなく、と言うスタンスを取るならなおさら。
カナダで地雷をわかってて(親切心から)踏んで退学になったけど、日本の状況はもっと酷いって事なんだから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
退学で済んでよかったな (スコア:5, すばらしい洞察)
日本じゃ逮捕されてるところだ。それもコーディングを発見どころかブラックボックステストで。ていうかテストですらなくて普通にクローラー動かしただけで。 #librahack
日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:3)
日本国内なら、ここに通報すれば問題ないですよ。
http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp]
情報処理推進機構:情報セキュリティ:脆弱性関連情報の届出
--- de FTNS.
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:3, 興味深い)
通報しても半分近くは未修正、未公開のままになるけどね。
2012年に届け出のあった脆弱性のうち、44%は未修正です。
修正が終わらない限り原則として公開しないので、これらの44%近くの脆弱性が未公開になってます。
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:2)
まぁちゃんと修正されないのは問題ではありますが、少なくとも
通報者が逮捕されるという本末転倒な事は起きませんので。
--- de FTNS.
Re: (スコア:0)
図書館の蔵書管理システムだかにクローラー回したら逮捕された件についてじゃないですかね
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:1)
--- de FTNS.
Re: (スコア:0)
図書館システムの問題は、
セキュリティーホールではなくてデータベースのセクションの管理の問題
(セッションを閉じていないからセッションタイムアウトまで他がアクセスできなくなる)
という致命的な欠陥。
セキュリティーホールではなくてデータアクセスの問題。
http://bluewatersoft.cocolog-nifty.com/blog/2010/09/post-5de9.html [cocolog-nifty.com]
これ護身情報の漏洩もあったみたいだけど
Re:日本ならIPAに通報 [Re:退学で済んでよかったな] (スコア:2)
個々の事件を問題にしている訳ではなく、こうすれば逮捕されずに通報できますよ
というだけの事です。あなたの言っていることが正しいのはわかってます。
--- de FTNS.
Re: (スコア:0)
多分返答する場所間違えてるね。それたぶんあなたに対する擁護だよ。
あえて問題点をつくテストですらなくクロールしただけで、だから問題としてはより広範囲になってるから。
「セキュリティホールを突いたら逮捕」、が 「存在さえ知らない何らかバグをついたら逮捕」に
対象領域が拡張されてるから問題として含んでる。
そもそも、バグがあるとも知らないのに通報出来るわけ無いでしょ。
ましてやセキュリティホールでないわけだし。
『「ずさんなコーディング」を発見して退学処分を受けた学生』
なんだから『ずさんなコーディング』なら『セキュリティホール』でも『DBセッションの取り扱いの問題』でもかわんないでしょ。
個々の事件を問題にしているわけでなく、と言うスタンスを取るならなおさら。
カナダで地雷をわかってて(親切心から)踏んで退学になったけど、
日本の状況はもっと酷いって事なんだから。