mixiが「賞金付き」の脆弱性報告制度を開始 38
ストーリー by hylom
いまさら感 部門より
いまさら感 部門より
mixiが「脆弱性報告制度」を新たにスタートさせる。同社サービスで脆弱性を発見した場合、窓口に報告するとその重要度に応じて報酬が支払われる、というものだ。
対象は、mixiのWebアプリケーションおよびクライアントアプリケーション。期間は9月30日から来年3月31日まで。報酬額についての基準は公開されていないが、たとえばリモートからWebサーバー上で任意のコードが実行可能になるというものの場合、100万円が支払われるという。
ああ、LOモートですね。わかりますん。 (スコア:2)
炉モートとは何ぞや。
いつもろりな変換をされてるのかも知れませんが、リモートが正しいんですよね。
はさておき、リンク先見たら現金でくれるんではなく、相当のギフト券だそうですね。賞金が支払われるという表現では微妙に誤解を招くような。
/.も (スコア:3)
/.も賞金付きの誤変換報告制度を開始したらいいとおもう。
640GBはすべての人にとって未来永劫充分なメモリだ。
Re:/.も (スコア:1)
mixiよろしく通期で大赤字計上しちゃうじゃないですかヤダー
#私はギフト券でいいです
Re:/.も (スコア:1)
昔、何かで「Oliberと一晩熱く酒を交わし語り合える券」みたいな話題がありませんでしたっけ。
// LO限定引換券で(:>^
Re:/.も (スコア:1)
そんなまがいものっぽい人と飲み交わす権利なんていりません。
#Oliverさんとは一度お会いできました、スラド10周年記念パーティーで
Re:/.も (スコア:1)
まぁ本物ともあまり会いてェェぇッツって感じにならないですけどもね…
ここのメンツも。
転職活動の時に「Oliverとマブダチだぜ!」って自慢してくる奴がいて
なんだかなーって思ってしまってな…
// 会ってみたいというか遠目から眺めてみたい人なら何人かいるが(:>^
Re: (スコア:0)
本件に関する脆弱性ですよ、今すぐ通報して下さい。とりあえず、暫定評価だけしますね。
影響度: 深刻(5段階中最高)
対象: 本件に関わる全てのslashcode
内容: 任意の批判コメント、訂正要求コメントのポスト
対策方法: コード(記事)の訂正
Re: (スコア:0)
ロリロリな妹、略してロモート。
Re: (スコア:0)
コードそのものというより書いた本人に脆弱性があるパターンですか。新しいですね。
コードにバグが散らばっているのは、それを書いた本人がバグだらけだからだ!的な。
# にしても変換でその人のシュミが分かるなんて……いい時代になったのか悪い時代になったのか。
ATOKの呪い (スコア:0)
ローマ字入力ならォモートになりませんか。
ああ、またいつものこっそり修正癖ですね (スコア:0)
「炉モート」が何のことかわからない方のために魚拓をとってあります [megalodon.jp]からこちらをどうぞ。
Re:ああ、またいつものこっそり修正癖ですね (スコア:2)
「誤字を指摘してくれてありがとう」と言えない人は大人気ないなとは思うけれど、「誤字だ! 修正される前に証拠を残さなきゃ!」とコピーを取るって発想も何だかなぁ。いや、まあ好きに遊べば良いけどさ。
目的は (スコア:2)
「mixiのWebアプリケーションおよびクライアントアプリケーション」の普及(DL促進)ですかね。
キャンペーン期間前後でのDL数とアクティブユーザ数の増加で勝負。
Re:目的は (スコア:1)
いつも読んでくれてありがとう
mixiも今赤字が酷いらしいから大変そうだ
あそこは足跡とかでここ以上に粘着されやすいので行かなくなったっけ
ちょっと怖い (スコア:2)
概要ページには
と書かれてますが、それこそ「リモートで任意のコードが実行可能」なんて、見つけちゃった時点でシステムに影響が出てる可能性も高く……。
XSS等ならそこまで影響与えずに見れると思いますが、概要に書かれてるようなSQLインジェクションなどを発見した場合、それを実証する過程で被害が出る可能性を考えると「脆弱性を探す」行為そのものがリスクが高いように思えます。
かといってmixiからしてみても「脆弱性を探すためなら何してもいいです、システム止まっても責任は問いません」なんて言えないでしょうけど。
Re: (スコア:0)
SQLインジェクションも各種コード実行も安全に検証することはできるけど、そういうテクニックを期待したいなら野良ハッカーじゃなくて専門の診断業者に出すべきだね。
不正アクセス? (スコア:2)
rootとって100万円 (スコア:2)
(ただしギフト券)
# mixiアプリ内で使える100万円相当じゃないだけマシと解釈するべきだろうか
mixiの脆弱性 (スコア:1)
このままではユーザ流出が続いて、事業継続性が望めません。
ギフト券くれる?
Re: (スコア:0)
経営基盤が脆弱なのは皆とっくに知っているよ・・・
このページのこのフォームが悪い、というのと同じぐらいの具体的箇所を示して
「どこが、どのように」脆弱なのかを教えてあげたら、たぶんギフト券もらえるよ。
# たとえば社長の女癖が悪いのでこのままだとセクハラ裁判リスクが有ります、とか。(あくまで例)
Re: (スコア:0)
携帯メールかSMSのための携帯番号を要求するのを辞めるところからか初めて欲しい。
mixi社にとって既知かどうかなんて外部には分からない (スコア:0)
「mixi社にとって既知の脆弱性」には賞品が支払われないそうですが、
mixi社にとって既知かどうかは外部からは検証不能なので、
mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば
結果として無料で脆弱性が診断されて美味しいね。
既知の脆弱性は全部ドキュメントにして公開鍵暗号で暗号化したうえで公開しておき、
「mixi社にとって既知です」と宣言するときにはその脆弱性に対応する秘密鍵を
通報者にはこっそり明らかにするとかしないとフェアじゃないよね。
もちろん、「公開された脆弱性が増えた」ことが攻撃者の情報にならないように、
脆弱性が増えなくても毎日一つダミーデータをアップロードするとかして
隠蔽するのは勿論必須でしょうが。
Re: (スコア:0)
mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば
結果として無料で脆弱性が診断されて美味しいね。
「じゃあなんで今まで放置してたんだゴルァ」と突っ込まれて炎上するのがオチかと。
Re:mixi社にとって既知かどうかなんて外部には分からない (スコア:2)
「少し前に自分らで気がついて対応中だった。」とか。
Re: (スコア:0)
「おしい、あと1日はやければ賞金だったのに」
のほうが確実かと。
Re: (スコア:0)
将棋で自分の王様が詰んだ時に相手に王手をかけて
「おしい、あと一手で勝ったのに」と言った人がいたのを思い出したよ。
Re: (スコア:0)
他人事に聞こえないのでAC
Re: (スコア:0)
> 公開鍵暗号で暗号化したうえで公開しておき
公開する必要が出た時に、復号鍵を公開するというシナリオだと思いますが、単なる公開鍵暗号だと実はそれが暗号学的には脆弱。
狙ったメッセージになるような復号鍵を作れないなんて要件は考えられていないのです。
そういうことをしたい時は「コミットメントプロトコル」をどうぞ。
コミットメントという値を予め公開しておき、この値からはメッセージが求められない。
で、しかるべき時に元のメッセージと、コミットメントと一緒に作った証拠を提出して、「最初から持っていたでしょ?」と言う事を保証できる、そんな性質。
Re: (スコア:0)
何を言っているのかイマイチわかりませんが、鍵に対して、メッセージが十分長ければ不可能でしょうよ。
Re: (スコア:0)
タイムスタンプじゃだめなの
Re: (スコア:0)
全部「既知です!」と言い張れば
過去に、ある方が不具合を報告した時に
「前向きに検討する」と国会の答弁さながらの返事をしてきたので、
注意喚起のためにその一部始終を公開したら、1,2日後に対処する旨の
告知を出してきたことがあったから、ここは本当にやりかねないよ。
むかし (スコア:0)
mixiのソースダダ漏れしてたよね
サーバ障害の影響でmixiのソースの一部が流出 [srad.jp]
Perlで書かれてて自分もソース斜め読みしたけど、あんまり出来のいいコードではなかった記憶がある
さすがに今はもうPerlでもないしキッチリしたものになってるんだろうけど
Re: (スコア:0)
mixiの中途採用ページ眺めてたらPerlが必須みたいなんでまだPerlじゃないですかね
Ruby/Python/PHPあたりもあったけど、大体のエンジニア募集項目にPerl + JavaScriptが入ってました
Re: (スコア:0)
Perl に何か問題があるのですか?
企業はふつー PHP ってやつですか?
Re: (スコア:0)
mixiのシステムくらいの大規模開発なら、もっと他にやり易い言語があるんじゃないの?ってことでは。
いや、まあ、Perlでだって大規模開発は十分可能だけど、対応できるエンジニアを確保するのが大変そうだし。
Re: (スコア:0)
どの言語も、言語そのものとしては似たり寄ったりですね。逆に少数派の言語を使うことで、脆弱 性には強いかももしれません。Mac はウィルスに強い的な。(°∀°)
Re: (スコア:0)
単に人気ないってだけです。言語としての優劣ではありません。