アイフルのサイトです。
重要 トレンド 適正 回り 馬鹿 砂時計 発売 常に かなえ 形成 今後 モデルハウス 鹿児島 淘汰 和歌山 なんとか こども メーカー 以下 楽しく 営業 付か 山口 協賛 入賞 ブック チケット 見える 書士 ヘルプ

そうしたとは?/ アイフル

[ 572] id:kyoumoeさんはid:Hamachiya2さんが「何故そうしたのか」を理解しているのかな・・・! - 煩悩是道場
[引用サイト]  http://d.hatena.ne.jp/ululun/20070202/1170384538

でも。それはルールを守ったほうが安全だったり、安心だったりするときに限られるんじゃないのかな・・・!
もし、その決められたルールを守った結果として利用者の安全が損なわれる可能性があったとしても守るべきなのかな? はまちちゃんが戸籍上の名前を入力しなかったのはIPAたんのシステムに脆弱性が認められていて、とてもではないが戸籍上の名前を入力出来る状況にないから入力を躊躇われたのだとしたら、はまちちゃんのとった行動は「正しい」とはいえないかな?
↑とても、こんなの(いまだに使い方わかんない)置いてるようなサイトに本名送信しようとは思えないです…!
コメント欄なので見逃しがちだけれども、このコメントを書いたタイミングではまちちゃんが上記に対する脆弱性を発見しているのは事実。
勿論、これらは状況証拠の積み重ねでしかないし、はまちちゃんも、小魚食べようとか言ってお茶を濁すのではなく、説明をしたほうが伝わるよね、とは思うし、私の上記の推測は全然外れていて、はまちちゃんはIPAをおちょくって楽しんでいるだけなのかもしれない。
私が、はまちちゃんの存在を知ったのはmixiの脆弱性とかはてなの脆弱性とかを公開していたのがあったのだけれども、脆弱性をサイト管理者やIPAに通知するのではなくウエブで実効性のあるソースと共に公開する事に対しては些か疑問を感じてはいます。
ですが、同時にIPAが実名でなければ受け付けないといっている事もIPAのウエブサイト上に存在する脆弱性の事を全く考慮にいれなかったとしても「本当に実名でなければ報告出来ないのか」という疑問も存在します。
冒頭に書きましたようにルールというものは、それを守ったほうが安全・安心であるという前提条件の元に実効性を担保されなければならないものと思われます。
もし仮に実名で登録する事を躊躇われる人が脆弱性を発見しても実名で登録しなければ受理されないという事を理由にして脆弱性報告をせずに何ヶ月も、あるいは永久に脆弱性が放置されていたとしたらどうでしょう。そのほうが多くのユーザにとって危険であるのは明白ですよね。
kyoumoeさんはIPAに報告書を提出するにあたって本名で書けと定めたルールに従うべきだとお考えだと思いますが、今回のように何らかの事由によって-それがIPAのウエブサイト内に脆弱性があるかどうかは無関係な、例えば「本名を登録する事に抵抗感がある」という価値観-戸籍上の本名を登録しなければ報告が出来ないというルールを遵守する事によって、多くのユーザが脆弱性を含んだウエブサイトを利活用する事によって得るであろう不利益が発生しうる可能性についてはどのようにお考えでしょうか。
IPAが本名を登録せよ、と言っているのはルールかもしれない。だけれど、そのルールに固執した結果、本当に大切な脆弱性の報告が出来ない可能性も考慮する必要があると思うんです。
私見ではありますが、はまちちゃんはkyoumoeさんのような不快感を意図的に引き受ける事も承知の上で一連のエントリを書いたものと思われます。
ですから「何故一連のエントリは書かれたのか」「はまちちゃんは何故あのエントリを通して何を伝えたいのか」を考える必要があると思うし、わからなかったら聞くのが良いのかな、と思いました。
文末になりますが、誤読で有名なid:ululunが釣り師として憶測メソッド全開で書いた文章ですので、はまちちゃんの行動については私個人の脳内での推測の域を逸脱しているわけではありません。
「そうじゃないよ」と思われるかたは「そうではない理由」もお書き添えのうえ、コメントなりトラックバックしてくださいますとより一層の理解が進みますので、宜敷お願い致します。
XSS脆弱性があるフォームに名前入れても、その名前が漏れるということはありませんよ。もしかしてXSS脆弱性を理解してないとか?
文章をちゃんと読みましょう。私ははまちちゃんではありませんし、はまちちゃんが何故IPAに実名で報告をしなかったのかは、はまちちゃんが説明する以外にありませんが、現時点で判明している事実から実名で報告をしなかった理由の一つを推察しているに過ぎませんが、的外れである可能性だって十分にありうるのです。此処での論点は「実名で報告するというルール」が「脆弱性を報告するという行為」を縛り付けているとしたらナンセンスではないだろうか、という事であります。
XSSから実名がもれるとかではなく、XSSなどの脆弱性を持っているということはその他の脆弱性が存在する可能性もあるという事なのでは?XSS程度の初歩的な処理を見逃すフォームなんて信用できません><ってことじゃないのかな?
↑の人。そうでしょうか。XSS脆弱性の根絶は他の脆弱性の根絶より困難性が高いです。送信した情報が後から取り出せてしまうような脆弱性はわりと容易に根絶できますし、それが見つかることもそう多くはないでしょ?
↑ululun>文章をちゃんと読みましょう。私ははまちちゃんではありませんし、>理由の一つを推察しているに過ぎませんが、的外れである可能性だって十分にありうるのです。はあ?あなたが、「「そうじゃないよ」と思われるかたは「そうではない理由」もお書き添えのうえ、コメントなり」というから書いたのに、何を言っとるんですか。
> XSS脆弱性の根絶は他の脆弱性の根絶より困難性が高いです。たぶん「サニタイズ言うな」のヒトとかはそう思ってないよね。昨今のネット上でコンセンサスがあるかどうかは微妙。
普通に考えて、どこか一部がズレてる人間は他の部分もズレているわけです。IPAがその体質である「可能性」もある事も以上の文章から推測する事も可能ですね。という意味で、本人ではないが、他人がどうこう言う問題でもないかと。「飽きた」とか言うなら最初から食いつくな、と。

 

戻る

アイフルのサイトです。

アイフルのサイトです。