「『いまだ発見されていないもの』に対する対策は難しい」
「「いまだ発見されていないもの」に対する対策は難しい」
あったかいインターネットみっけ。
仕事で請け負ってれば、こんな杜撰なことしないよ。損害賠償させられるから。
まったくだ
「はてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。」!
攻めるより守るほうが大変。。。 数十分。。。 ん。。。うん。。。
個人だから甘いのかな - ぼくはまちちゃん!(Hatena)
クロスサイトスクリプティングの勉強をしようと思った。
頑張って潰していこう…
だからと言ってかばったりするべきのものではないと思う。
完璧じゃないといけないなんて全然思わないけど、すかしっ屁を通報するより先にやるべきことはあった。エンジニアとして、ね。/id:legnumさん そんなことしたらはまちちゃんが困っちゃいます><
SQLインジェクションみたいに、分かっていても対策の難しいものもあるよね。
コストパフォーマンス無視の過剰品質志向に陥りがちではある / まぁネタがネタだけに発覚時には笑ったけど
「簡単だよーなんて言ってる人たちはすごいね。きっとGoogleとかに話を持ちかければ、びっくりするくらい高給で雇ってもらえるんじゃないかな!」
オレも軽々しく乗った口かな、反省。どちらかといえば、仕込まれた罠のえげつなさに引かれて叩いた感じなのか?ふつーの掲示板だったらいいんだけどな。
補足の自動予告のほうがすげえええ
あのさ、完璧な不備、エラーチェックって不可能だよね。セキュリティの確保なんて基本的に信じてないです。
前から思ってるのだけど脆弱性突くようなマネする奴らに指紋とか足跡残させる手法って無いものなの?↑困るような悪い事してないでしょwいや実際はしてるのか!怖い!
トラブったおかげで色んな反響があったのはラッキーだと思います。色んな宝になるヒントを投げかけてもらったわけだし。注目されるサービスを運営できた人だけの特権です。
いろんな意味で俺にはできません。
おこっている
セキュリティ的にミスしてもはまちちゃんに擁護してもらえる世界になってきた。とってもへいわ。
ヽ(・ω・)ノ
犯罪予告を通報する場なのに、通報したら自分が逮捕されかねないのが問題なんだ。だからみんな怒ってる。
どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない? → そうそう、これ、すごいやばいと思う
完全は難しくてもある程度まではXSSは容易に防げる。問題は本件が「意外なところで漏れちゃったりしちゃう」類の物かどうか。そうだと決め付けて仕方ないと煽るのは、はまちちゃんがイタズラしたいからじゃ?(嘘)
エンジニアのキモチ。
Livedoorニュースなんて真に受けるなよ・・・しかもITエンジニアは匿名と来たもんだ。(新聞記事では、こういう表現の場合、匿名とは嘘で、記者の主観を入れるときに使う手法)
マッチにポンプ。砂場に如雨露。
PHPには、エスケープ処理などの対策は最初から入れておいてくれ、と言いたくなる。個人がサクサクっと作るためのツールなのだから意識しなくても、安全なコードが書けるようにしておいてほしい。
一般論としては同意。特に運用しながら機能を継ぎ足す Web 開発でしかも個人運用では品質保証は難しいと思う。 / 個別具体論については情報が少ないので今はまだ何とも…まぁ少しずつ経験を重ねていけばええんでねーの?
id:nihenやid:rnaに同意。/「どうしても対策漏れが出ちゃうよね」という話に持っていくには、もう少し状況が揃ってないと苦しいかな
マッチポンプ
「全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね」今回の件がそういう事例だったのかどうか。幾多の事例を肌で知ってるはまちちゃんならではの批評を聞きたかった。続編希望。
叩きじゃなくて指摘になってほしいなぁ。みんなで一緒によくしていけばいいのに。
はまちちゃんが凄い事と、矢野氏のうっかり度は等価交換できないので今回ばかりは賛同しかねる。
それが有益だろうと何だろうと縛られるのを極端に嫌がる人は多いですからね。他人にグチグチ言っているだけなら校舎の窓を叩き割りまくるよりは害はすくないか。
うーん。http://tinyurl.com/5mcpk6をどうぞお読みください。某エンジニアさんは当該脆弱性を対象にしていてはまちちゃんはセキュリティホール全般を対象にしているから空気読めてないと思うです。
一度ミスをしたら叩かれる、という風潮はなんとかならないかな。これにこりずにもっといろんなサービスに挑戦してほしい。
はまちちゃんを尊敬した(大真面目に
はまちちゃんがこれを言うとすごい説得力。
とりあえず、テキストboxは<b style="font-size:50pt">"&</b>とかぶち込んでみる。まあ、一見変更できないradioとかhidden、環境変数の値が一番危険なんだけど。
個人だからうんぬん、2時間で作っちゃったからうんぬんじゃなくて、開発者個人のセキュリティに対する意識が低かっただけ。
なんというナイスパンチ オチも素敵
調子に乗ってたらはまちちゃんに怒られちった話
はまちちゃんの痛快な皮肉。ラスト3行
「その事件を論ずる&対策を講じる」のに適した人は、おのずと限られてくる。このタイミングでコメントを残すなら、はまちや氏くらいに適任が思いつかない。
穴はあって当たり前という認識で。
納得。私念を正当化するために使われただけ、という感じ。
昔からの大規模なコードをメンテナンスして脆弱性を完全に塞ぐ事は確かに難しいと思う。が、2時間で書けるコード量、サイトの内容、注目度などを考慮すると単なるエスケープ漏れは意識が低いと言わざるを得ない。
惚れた
バグのないソフトウェアは存在しない。/今回の対応は、早かったと思う。
脆弱性なんかどうでもよくて、別の箇所が問題だらけだと思うんだよなあ。せっかく善良なクラッカーがいろいろ示唆してくれた(と自分は信じる)のに教科書的なセキュリティの話ばかり。
この言葉は言える人が限られてるからなぁ./ ※見てて,他人に厳しいよなぁと思う.
かっこいい!
優しげに見えて優しくないメソッド。
>「みんなが信頼してるインターネットのすごい大企業」ですらそうなんだよ。 / >それほどセキュリティホールを完全につぶすのは難しい。 / はまちちゃんの重いお言葉(´・ω・`)
-
うん、だからどうせならはまちちゃんあたりに見つけてもらった方が幸せなのだよねw
個人が企業に勝ったという風潮への皮肉的論評へのマジレス的な?/まあそのとおりなんだがw
ACCSは「サイバー・ノーガード戦法」という誰に攻撃されても問題なくなるという新しい対策方法を使用しているし、価格コムだって「最高のセキュリティ」なんだよ だからすごいんだゾ!!
痛烈。かっこいいよはまちちゃん。
個人だから甘いというのはないだろうけど、個人だから脆弱性テストに時間をそこまで割けないというのはあるのではないか。テスターを何人も抱えてる企業の方が脆弱性が少なくなるのは自明。それ以外は大体同意です。
被弾率みたいなのを、自分で認識しておくのもよいかもですね。/XSSによる攻撃ってまさしく挨拶代わり的に行われるけど、”こんにちはこんにちは!!”ってつまりはそういう意味なのかな・・・。
infoseekのページのhtmlとpost2ch.swfも今回の人が書いたなら10分以上は掛かってるだろう/あのページまだ生きてるから他の人も使えちゃうね
COOL。 「ヒュー…」のAA貼りたいくらい
脆弱性のあるサイトと脆弱性のないサイトがあるんじゃなくて、攻撃を受けるサイトと攻撃の対象にすらならないサイトがあるんだと思う。
大事故にならない程度に遊んで脆弱性を発見するはまちちゃん的手法はすばらしいね
素人か!と叩いてる人をいつものことと眺めつつも苦汁を飲まされた感覚でいたけど、はまちちゃんが言ってくれてうれしかったよ!/はまちちゃんは遊び場がなくなるのがイヤなだけ説。
ごめんなさい、数十分探してもはてなの脆弱性見つけられませんでした。。。
そうなんだ。。いろんな人に知って欲しいのでぶくま
重要なのは脇が甘いとたたくことではなくて、穴を見つけ次第ふさぐことでしょ。過ちは人の技。
シロート個人としてはこの意見を参考にしたい。
どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない?予告in通さなくてもそのJS(AS?)ページを大手サイトのリダイレクタでURL偽装して2ch投稿、踏むと自動予告して>>1には同様の罠URLが書いてあって一気に拡散
いつものはまちちゃんだったらまず行動で示していたはずなのに。さすがのはまちちゃんも「空気」や「風潮」には勝てないのだ。嗚呼。
はまちちゃんだからこその説得力 毒の入れ方も秀逸
そこでサイバーノーガード戦法最強論w
はまちちゃんが言うと重みがあるね
本人や周囲が2時間0円で2億円のシステムよりすごいものを作った!政府ダセー!SI企業ダセー!とはしゃいでいたからでは……/2億円かけても脆弱性はあるよとかそういう問題ではなく
説得力あり
まあはてなーは色んな意味でクラッカー集団ですからねww
htmlの仕様が悪いと思う。僕は最近テンプレートエンジンのデフォルトを全てescapeにしている。
いい話だ、はまちちゃんが言うと説得力あるな
さすがに今回のケースをXSS脆弱性一般論にもってって弁護するのは無理だろ…
Webアプリの脆弱性事例を見てると、何でこんなのが防げなかったんだろう?と不思議になることもしばしば。元記事の「某IT企業に勤めるエンジニア(匿名)」さんは、そのへんどう思うかな。livedoorにも脆弱性ないかな。
ネタサイトのままなら、脆弱性なんて2chですら話題にされなかっただろうなぁ
「はてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。 (ここで脆弱性ついたURL)。 ほらね。」 というのが一番かっこよかったんだけどw
はまちちゃん優しい 惚れた!!
こわいです><
タイトル見て思ったのは、これ仕掛けたのが組織人だったら悪質度高いな、ということ。
コロンブスの卵ってことで一つ。ところで卵だっけ玉子だっけ?/ご返答いただきありがとうございました。
まさかこんなことになるとは → http://subtech.g.hatena.ne.jp/mayuki/20081009/1223516049
やわらかい文章に毒を入れすぎw、だが、全面的に同意。//だからといって責めなくても良いというわけではなく、諌めることも必要だと思う。バランスが難しいけど。
「簡単だよーなんて言ってる人たちはすごいね。」
XSSとひとくくりにしているが、簡単に見つかるXSSと少し時間が掛かるXSSを同列に扱っているのが気になる。パスワード強度のように、XSS対策度で論じるべきではないか?とはいえ、予告.inの脆弱性の程度は知らない。
意外にも庇った
はまちちゃんがいうと説得力ありすぎ。
はまちちゃんが言うと重いな。
ぎゃっ!やられた。
おおむね同意だけど、予告.in程度の設計のサイトなら何とかして欲しかった気もする
確かにそうだなぁ。。。 >だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。
「みんなの大好きな遊び場であるはてな」
[PR]人気のエログが大集合
はてなブックマークの中から「これはひどい」エントリーを取り上げて、Digg風に表示したサイトです。より人の為になるこれはすごいバージョンもあります。
はてブで「これはひどい」タグを付けると投票としてカウントされ、コメントを書き込むとコメントとして反映されます。はてな認証APIによる投票にも対応しています。
コメント
「『いまだ発見されていないもの』に対する対策は難しい」
「「いまだ発見されていないもの」に対する対策は難しい」
あったかいインターネットみっけ。
仕事で請け負ってれば、こんな杜撰なことしないよ。損害賠償させられるから。
まったくだ
「はてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。」!
攻めるより守るほうが大変。。。 数十分。。。 ん。。。うん。。。
個人だから甘いのかな - ぼくはまちちゃん!(Hatena)
クロスサイトスクリプティングの勉強をしようと思った。
頑張って潰していこう…
だからと言ってかばったりするべきのものではないと思う。
完璧じゃないといけないなんて全然思わないけど、すかしっ屁を通報するより先にやるべきことはあった。エンジニアとして、ね。/id:legnumさん そんなことしたらはまちちゃんが困っちゃいます><
SQLインジェクションみたいに、分かっていても対策の難しいものもあるよね。
コストパフォーマンス無視の過剰品質志向に陥りがちではある / まぁネタがネタだけに発覚時には笑ったけど
「簡単だよーなんて言ってる人たちはすごいね。きっとGoogleとかに話を持ちかければ、びっくりするくらい高給で雇ってもらえるんじゃないかな!」
オレも軽々しく乗った口かな、反省。どちらかといえば、仕込まれた罠のえげつなさに引かれて叩いた感じなのか?ふつーの掲示板だったらいいんだけどな。
補足の自動予告のほうがすげえええ
あのさ、完璧な不備、エラーチェックって不可能だよね。セキュリティの確保なんて基本的に信じてないです。
前から思ってるのだけど脆弱性突くようなマネする奴らに指紋とか足跡残させる手法って無いものなの?↑困るような悪い事してないでしょwいや実際はしてるのか!怖い!
トラブったおかげで色んな反響があったのはラッキーだと思います。色んな宝になるヒントを投げかけてもらったわけだし。注目されるサービスを運営できた人だけの特権です。
いろんな意味で俺にはできません。
おこっている
セキュリティ的にミスしてもはまちちゃんに擁護してもらえる世界になってきた。とってもへいわ。
ヽ(・ω・)ノ
犯罪予告を通報する場なのに、通報したら自分が逮捕されかねないのが問題なんだ。だからみんな怒ってる。
どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない? → そうそう、これ、すごいやばいと思う
完全は難しくてもある程度まではXSSは容易に防げる。問題は本件が「意外なところで漏れちゃったりしちゃう」類の物かどうか。そうだと決め付けて仕方ないと煽るのは、はまちちゃんがイタズラしたいからじゃ?(嘘)
エンジニアのキモチ。
Livedoorニュースなんて真に受けるなよ・・・しかもITエンジニアは匿名と来たもんだ。(新聞記事では、こういう表現の場合、匿名とは嘘で、記者の主観を入れるときに使う手法)
マッチにポンプ。砂場に如雨露。
PHPには、エスケープ処理などの対策は最初から入れておいてくれ、と言いたくなる。個人がサクサクっと作るためのツールなのだから意識しなくても、安全なコードが書けるようにしておいてほしい。
一般論としては同意。特に運用しながら機能を継ぎ足す Web 開発でしかも個人運用では品質保証は難しいと思う。 / 個別具体論については情報が少ないので今はまだ何とも…まぁ少しずつ経験を重ねていけばええんでねーの?
id:nihenやid:rnaに同意。/「どうしても対策漏れが出ちゃうよね」という話に持っていくには、もう少し状況が揃ってないと苦しいかな
マッチポンプ
「全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね」今回の件がそういう事例だったのかどうか。幾多の事例を肌で知ってるはまちちゃんならではの批評を聞きたかった。続編希望。
叩きじゃなくて指摘になってほしいなぁ。みんなで一緒によくしていけばいいのに。
はまちちゃんが凄い事と、矢野氏のうっかり度は等価交換できないので今回ばかりは賛同しかねる。
それが有益だろうと何だろうと縛られるのを極端に嫌がる人は多いですからね。他人にグチグチ言っているだけなら校舎の窓を叩き割りまくるよりは害はすくないか。
うーん。http://tinyurl.com/5mcpk6をどうぞお読みください。某エンジニアさんは当該脆弱性を対象にしていてはまちちゃんはセキュリティホール全般を対象にしているから空気読めてないと思うです。
一度ミスをしたら叩かれる、という風潮はなんとかならないかな。これにこりずにもっといろんなサービスに挑戦してほしい。
はまちちゃんを尊敬した(大真面目に
はまちちゃんがこれを言うとすごい説得力。
とりあえず、テキストboxは<b style="font-size:50pt">"&</b>とかぶち込んでみる。まあ、一見変更できないradioとかhidden、環境変数の値が一番危険なんだけど。
個人だからうんぬん、2時間で作っちゃったからうんぬんじゃなくて、開発者個人のセキュリティに対する意識が低かっただけ。
なんというナイスパンチ オチも素敵
調子に乗ってたらはまちちゃんに怒られちった話
はまちちゃんの痛快な皮肉。ラスト3行
「その事件を論ずる&対策を講じる」のに適した人は、おのずと限られてくる。このタイミングでコメントを残すなら、はまちや氏くらいに適任が思いつかない。
穴はあって当たり前という認識で。
納得。私念を正当化するために使われただけ、という感じ。
昔からの大規模なコードをメンテナンスして脆弱性を完全に塞ぐ事は確かに難しいと思う。が、2時間で書けるコード量、サイトの内容、注目度などを考慮すると単なるエスケープ漏れは意識が低いと言わざるを得ない。
惚れた
バグのないソフトウェアは存在しない。/今回の対応は、早かったと思う。
脆弱性なんかどうでもよくて、別の箇所が問題だらけだと思うんだよなあ。せっかく善良なクラッカーがいろいろ示唆してくれた(と自分は信じる)のに教科書的なセキュリティの話ばかり。
この言葉は言える人が限られてるからなぁ./ ※見てて,他人に厳しいよなぁと思う.
かっこいい!
優しげに見えて優しくないメソッド。
>「みんなが信頼してるインターネットのすごい大企業」ですらそうなんだよ。 / >それほどセキュリティホールを完全につぶすのは難しい。 / はまちちゃんの重いお言葉(´・ω・`)
-
うん、だからどうせならはまちちゃんあたりに見つけてもらった方が幸せなのだよねw
個人が企業に勝ったという風潮への皮肉的論評へのマジレス的な?/まあそのとおりなんだがw
ACCSは「サイバー・ノーガード戦法」という誰に攻撃されても問題なくなるという新しい対策方法を使用しているし、価格コムだって「最高のセキュリティ」なんだよ だからすごいんだゾ!!
痛烈。かっこいいよはまちちゃん。
個人だから甘いというのはないだろうけど、個人だから脆弱性テストに時間をそこまで割けないというのはあるのではないか。テスターを何人も抱えてる企業の方が脆弱性が少なくなるのは自明。それ以外は大体同意です。
被弾率みたいなのを、自分で認識しておくのもよいかもですね。/XSSによる攻撃ってまさしく挨拶代わり的に行われるけど、”こんにちはこんにちは!!”ってつまりはそういう意味なのかな・・・。
infoseekのページのhtmlとpost2ch.swfも今回の人が書いたなら10分以上は掛かってるだろう/あのページまだ生きてるから他の人も使えちゃうね
COOL。 「ヒュー…」のAA貼りたいくらい
脆弱性のあるサイトと脆弱性のないサイトがあるんじゃなくて、攻撃を受けるサイトと攻撃の対象にすらならないサイトがあるんだと思う。
大事故にならない程度に遊んで脆弱性を発見するはまちちゃん的手法はすばらしいね
素人か!と叩いてる人をいつものことと眺めつつも苦汁を飲まされた感覚でいたけど、はまちちゃんが言ってくれてうれしかったよ!/はまちちゃんは遊び場がなくなるのがイヤなだけ説。
ごめんなさい、数十分探してもはてなの脆弱性見つけられませんでした。。。
そうなんだ。。いろんな人に知って欲しいのでぶくま
重要なのは脇が甘いとたたくことではなくて、穴を見つけ次第ふさぐことでしょ。過ちは人の技。
シロート個人としてはこの意見を参考にしたい。
どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない?予告in通さなくてもそのJS(AS?)ページを大手サイトのリダイレクタでURL偽装して2ch投稿、踏むと自動予告して>>1には同様の罠URLが書いてあって一気に拡散
いつものはまちちゃんだったらまず行動で示していたはずなのに。さすがのはまちちゃんも「空気」や「風潮」には勝てないのだ。嗚呼。
はまちちゃんだからこその説得力 毒の入れ方も秀逸
そこでサイバーノーガード戦法最強論w
はまちちゃんが言うと重みがあるね
本人や周囲が2時間0円で2億円のシステムよりすごいものを作った!政府ダセー!SI企業ダセー!とはしゃいでいたからでは……/2億円かけても脆弱性はあるよとかそういう問題ではなく
説得力あり
まあはてなーは色んな意味でクラッカー集団ですからねww
htmlの仕様が悪いと思う。僕は最近テンプレートエンジンのデフォルトを全てescapeにしている。
いい話だ、はまちちゃんが言うと説得力あるな
さすがに今回のケースをXSS脆弱性一般論にもってって弁護するのは無理だろ…
Webアプリの脆弱性事例を見てると、何でこんなのが防げなかったんだろう?と不思議になることもしばしば。元記事の「某IT企業に勤めるエンジニア(匿名)」さんは、そのへんどう思うかな。livedoorにも脆弱性ないかな。
ネタサイトのままなら、脆弱性なんて2chですら話題にされなかっただろうなぁ
「はてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。 (ここで脆弱性ついたURL)。 ほらね。」 というのが一番かっこよかったんだけどw
はまちちゃん優しい 惚れた!!
こわいです><
タイトル見て思ったのは、これ仕掛けたのが組織人だったら悪質度高いな、ということ。
コロンブスの卵ってことで一つ。ところで卵だっけ玉子だっけ?/ご返答いただきありがとうございました。
まさかこんなことになるとは → http://subtech.g.hatena.ne.jp/mayuki/20081009/1223516049
やわらかい文章に毒を入れすぎw、だが、全面的に同意。//だからといって責めなくても良いというわけではなく、諌めることも必要だと思う。バランスが難しいけど。
「簡単だよーなんて言ってる人たちはすごいね。」
XSSとひとくくりにしているが、簡単に見つかるXSSと少し時間が掛かるXSSを同列に扱っているのが気になる。パスワード強度のように、XSS対策度で論じるべきではないか?とはいえ、予告.inの脆弱性の程度は知らない。
意外にも庇った
はまちちゃんがいうと説得力ありすぎ。
はまちちゃんが言うと重いな。
ぎゃっ!やられた。
おおむね同意だけど、予告.in程度の設計のサイトなら何とかして欲しかった気もする
確かにそうだなぁ。。。 >だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。
「みんなの大好きな遊び場であるはてな」