問題は web アプリケーションの脆弱性に対して社会的認知が取られていない事だと思います。
実際自分が見つけただけでも、某超有名ショッピングサイトでセッションハイジャック、画面偽装から騙しによりパスワード収集が出来る、現金に交換可能な仮想通貨を扱った某サイトでページを訪れたログイン済みのユーザーから財布を抜くことが出来る、と危険度の高い問題が幾つかありました。
社会的に web アプリケーションの利用頻度、重要度が高まる反面その品質は十分とは思えず、潜在的危機を溜め込んでいる現状はマズいと思いますし、それ以上に脆弱性の指摘を十分に活用できず、ある種拒否反応を示す (メディアも含めた) 社会機能/企業/行政に危険を感じるワケです。
標準的なルールとルート作りとか (スコア:5, 興味深い)
実際自分が見つけただけでも、某超有名ショッピングサイトでセッションハイジャック、画面偽装から騙しによりパスワード収集が出来る、現金に交換可能な仮想通貨を扱った某サイトでページを訪れたログイン済みのユーザーから財布を抜くことが出来る、と危険度の高い問題が幾つかありました。
社会的に web アプリケーションの利用頻度、重要度が高まる反面その品質は十分とは思えず、潜在的危機を溜め込んでいる現状はマズいと思いますし、それ以上に脆弱性の指摘を十分に活用できず、ある種拒否反応を示す (メディアも含めた) 社会機能/企業/行政に危険を感じるワケです。
で、脆弱性が利用者の危機や損失を招くという社会的認識、開発/管理運営を戒めるための社会的圧力が必要で、かつ企業も脆弱性の指摘を有効な情報として摂取出来る事が必要だと思います。
教育、行政等の多方面でお題目で唱える「IT 化」の中にセキュリティに関する本質的な理解を入れて進めていく必要があると思うのですが、
まぁ手近な所から、取り敢えず脆弱性の通知と公表にマスメディア、企業、利用者 (通知者含む) の三者に対して影響があり、且つそれぞれから中立的な指摘/公表に関するルールとルートが整えば状況は少し変わるような気がします。
# 結局は社会のセキュリティに関する関心度/理解の低さが一番の問題だと思ったり。