アカウント名:
パスワード:
ホスティング系でセットになっているCMSを使ってサイトを運用しているだけな場合、デザインはお金を払ってWeb制作会社に頼んではいても、セキュリティは全く考えていないというところが大多数です。
Web制作会社はセキュリティなんて考えていないのに、そこまでやっていると期待しているクライアントが多すぎ。特に、今年大事故を起こした格安ホスティング系列のサービス利用者に多し。
今まで発見した20件くらいの改竄サイトに、改竄されていますよと連絡を送ってますが、完全に善意によるもので、お金をもらうわけではないのでメールで一報程度です。今まで反応があってお礼のお返事が来たのが2件だけですね。
中には改竄発動がランダムになっていて、改竄が確認しにくいものもあってか、改竄されっぱなしのところもあります。教えてあげても、「改竄されていないじゃん」ってことで無視されるのでしょう。
善意で教えているだけなので、直し方までは伝えませんが、「使っているホスティング会社に連絡して直してもらったほうが良い」とアドバイスするのが精いっぱいですが、肝心なホスティング会社のほうも直したらり防御できるスキルが無いというケースも少なくないです。
親切心で教えてあげる次の段階として、「いくら払ってくれれば調べて直してあげますよ」というべきかとも思いますけど、たぶんそれをやると疑われて警察に犯人として通報されちゃうでしょうからやってません。
何かいい方法は無いですかねえ。
「いい方法」というのが、発見者が手間をあまり掛けることなくサイト管理者が修正する気になってくれる方法という意味なら、残念ながらないでしょうね。所詮、改竄されているサイトを見付けて連絡しただけなのだから、役に立てばラッキーくらいに思うしかないのでは。
管理者に言ってもダメな場合,被害を最も防ぐにはやはり,事態をWebか何かで公開するしかないですよね…でも,アクセスをやめさせるために公開したら,某ブラック教育会社事件みたいになりそうですし,報酬もないのにそんなリスク取りたくないですよね…
JPCERT/CCにも連絡するとか、whoisでそのドメインをホスティングしているxSPの abuse@example.ad.jp に伝えるとか、IPA関係でも連絡先なかったっけ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
報告経験あり (スコア:4, 興味深い)
ホスティング系でセットになっているCMSを使ってサイトを運用しているだけな場合、デザインはお金を払ってWeb制作会社に頼んではいても、セキュリティは全く考えていないというところが大多数です。
Web制作会社はセキュリティなんて考えていないのに、そこまでやっていると期待しているクライアントが多すぎ。
特に、今年大事故を起こした格安ホスティング系列のサービス利用者に多し。
今まで発見した20件くらいの改竄サイトに、改竄されていますよと連絡を送ってますが、完全に善意によるもので、お金をもらうわけではないのでメールで一報程度です。
今まで反応があってお礼のお返事が来たのが2件だけですね。
中には改竄発動がランダムになっていて、改竄が確認しにくいものもあってか、改竄されっぱなしのところもあります。
教えてあげても、「改竄されていないじゃん」ってことで無視されるのでしょう。
善意で教えているだけなので、直し方までは伝えませんが、「使っているホスティング会社に連絡して直してもらったほうが良い」とアドバイスするのが精いっぱいですが、肝心なホスティング会社のほうも直したらり防御できるスキルが無いというケースも少なくないです。
親切心で教えてあげる次の段階として、「いくら払ってくれれば調べて直してあげますよ」というべきかとも思いますけど、たぶんそれをやると疑われて警察に犯人として通報されちゃうでしょうからやってません。
何かいい方法は無いですかねえ。
Re:報告経験あり (スコア:2)
「いい方法」というのが、発見者が手間をあまり掛けることなくサイト管理者が修正する気になってくれる方法という意味なら、残念ながらないでしょうね。所詮、改竄されているサイトを見付けて連絡しただけなのだから、役に立てばラッキーくらいに思うしかないのでは。
Re:報告経験あり (スコア:1)
管理者に言ってもダメな場合,被害を最も防ぐにはやはり,
事態をWebか何かで公開するしかないですよね…
でも,アクセスをやめさせるために公開したら,某ブラック教育会社事件みたいになりそうですし,
報酬もないのにそんなリスク取りたくないですよね…
Re: (スコア:0)
JPCERT/CCにも連絡するとか、whoisでそのドメインをホスティングしているxSPの abuse@example.ad.jp に伝えるとか、
IPA関係でも連絡先なかったっけ。