アカウント名:
パスワード:
プライバシーとかセキュリティーとかの指摘をしてくれるのは良いことだと思うけどやり方っていうものがあるよね。自分がコールセンターの人だったらストレスで鬱になっちゃうな。
そもそもコールセンターが、定型以外の対応を想定して設置していないのでは?電話相手のおねぇちゃんを苛めずに、当該社長?宛に封書で、(産総研の封筒使って?これはオプション)問題を連絡するのがまっとうな「やりかた」だとは思いますが。
コールセンターおねぇちゃん苛めは楽しいぞ
と返事返ってきそう。それくらい楽しめなきゃ(S)、この仕事できないとも。仕事なのか?
本当に利用者のことを思っているなら脆弱性がなくなる前に公開なんかしないと思うけど。以前に裏で指摘したけど全然修正する様子がないというなら仕方ないけど。そうなのかな?
その手の話はセキュリティ議論で散々なされてるんでそちらを見ればいいと思いますが、簡単に言うと、「密かにゼロデイ攻撃(根本対策が無い時点で発生する攻撃)が発生するよりは公知にして広く注意を促した方がマシである」と言う事が大方の結論ですね。そのゼロデイ攻撃が、簡単に行え、尚且つ発覚しにくいものであればあるほど尚更。
セキュリティホールで発覚しても、対策が完了するまで公表されるべきではないと言うのは以下の2点が当てはまる場合です。●現在まだそのセキュリティホールを使用した攻撃がほとんど発生していない。●対策中である。なので、対策中であっても大規模な脆弱性を突いた攻撃が行われる場合には公表され、注意を促されます。
今回の場合はどうかというと
●公知の公共サービスである●サービスを利用したことがあれば簡単に気づける程度で発見しやすい●ゼロデイ攻撃が発生していても攻撃を仕掛けられている方が気づきにくい。(今回の場合気づくには、自ら利用登録しようとするか、問い合わせをする必要がある。ちなみにパスワードを忘れたときの手続きも、登録と同じ情報でできるので、自ら利用登録しても防止できない)
と言う事は当てはまります。まともなセキュリティ専門家ならすでにゼロデイ攻撃が行われていると考えるのが妥当かと思います。高木氏は従来の例では、相手が対処を約束した場合には、対処が終了するまで公表を控えています。そのことから今回は相手がまともな対処をする事が無いと判断して、公開に踏み切ったのでは無いかと。
こういった状況で、脆弱性を公開しなければ何か改善するというのは、警察官がいなければ逮捕される人が出ないので犯罪なんか無いんだ、と言う様なもんです。
なるほど。それなら仕方がないですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
何がしたいんだろう (スコア:0)
プライバシーとかセキュリティーとかの指摘をしてくれるのは良いことだと思うけどやり方っていうものがあるよね。
自分がコールセンターの人だったらストレスで鬱になっちゃうな。
Re:何がしたいんだろう (スコア:1)
それを関係ない定型の受け答えで煙にまいてごまかそうとするから傷を広げてるだけにみえますが。
>通常、生年月日とか隠してないですよね。一般の人は。
>電話帳に電話番号載せている人もいるじゃないですか。
>いや、セキュリティ上問題があって、番号だけで閲覧できちゃうなんてもってのほかだから、さっさと止めろってことですよ。
Re: (スコア:0)
そもそもコールセンターが、定型以外の対応を想定して設置していないのでは?
電話相手のおねぇちゃんを苛めずに、当該社長?宛に封書で、
(産総研の封筒使って?これはオプション)
問題を連絡するのがまっとうな「やりかた」だとは思いますが。
コールセンターおねぇちゃん苛めは楽しいぞ
と返事返ってきそう。それくらい楽しめなきゃ(S)、この仕事できないとも。
仕事なのか?
Re:何がしたいんだろう (スコア:1)
コールセンターの意味がない。
答えられないならエスカレーションせい。
Re: (スコア:0)
本当に利用者のことを思っているなら脆弱性がなくなる前に公開なんかしないと思うけど。
以前に裏で指摘したけど全然修正する様子がないというなら仕方ないけど。そうなのかな?
Re:何がしたいんだろう (スコア:3, 参考になる)
その手の話はセキュリティ議論で散々なされてるんでそちらを見ればいいと思いますが、簡単に言うと、
「密かにゼロデイ攻撃(根本対策が無い時点で発生する攻撃)が発生するよりは公知にして広く注意を促した方がマシである」
と言う事が大方の結論ですね。そのゼロデイ攻撃が、簡単に行え、尚且つ発覚しにくいものであればあるほど尚更。
セキュリティホールで発覚しても、対策が完了するまで公表されるべきではないと言うのは以下の2点が当てはまる場合です。
●現在まだそのセキュリティホールを使用した攻撃がほとんど発生していない。
●対策中である。
なので、対策中であっても大規模な脆弱性を突いた攻撃が行われる場合には公表され、注意を促されます。
今回の場合はどうかというと
●公知の公共サービスである
●サービスを利用したことがあれば簡単に気づける程度で発見しやすい
●ゼロデイ攻撃が発生していても攻撃を仕掛けられている方が気づきにくい。
(今回の場合気づくには、自ら利用登録しようとするか、問い合わせをする必要がある。ちなみにパスワードを忘れたときの手続きも、登録と同じ情報でできるので、自ら利用登録しても防止できない)
と言う事は当てはまります。まともなセキュリティ専門家ならすでにゼロデイ攻撃が行われていると考えるのが妥当かと思います。
高木氏は従来の例では、相手が対処を約束した場合には、対処が終了するまで公表を控えています。
そのことから今回は相手がまともな対処をする事が無いと判断して、公開に踏み切ったのでは無いかと。
こういった状況で、脆弱性を公開しなければ何か改善するというのは、警察官がいなければ逮捕される人が出ないので犯罪なんか無いんだ、と言う様なもんです。
Re: (スコア:0)
なるほど。それなら仕方がないですね。