1. まとめトップ

おそらくXSSのリクエストが理由で不当な扱いを受けてる。抗議してるけど、きっかけと思われる会社がセキュリティ上の理由でこたえられないとしか言わなくて参ってる。

RT @hasegawayosuke: ベネッセ、情報セキュリティの通信教育サービス始めないかな…

昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。

そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。
問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。

サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。

これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。

プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に苦情があったことが記されていました。
プロバイダには、攻撃をしたとみなされ、再開するにはこういった行為をしないという誓約書を書かなければいけないそうです。

不本意なので、サービス提供者とプロバイダに事情を説明しましたが、サービス提供者は「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」の一辺倒で、例外的なハンドリングをするつもりはなく、思考停止しているかんじでした。

なぜ僕の報告と、僕のアクセスと、プロバイダへの連絡の事実を調査し結びつけることができないのか、意味が分かりません。

こうした行為さえ規制されて、善意の報告者を委縮させ、セキュリティ問題が放置され続ける状態になっても誰も得しないと思います。
かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

そして誰もベネッセのサイトの脆弱性を指摘するものはいなくなり・・・■Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった masatokinugawa.l0.cm/2013/09/xss.be…

ベネッセのXSSのエントリに「誰だよ・・・」で有名な自称セキュリティ屋のデマゴーグがまだブコメ付けてない

ベネッセくらいになるとまともにインターネットわかる人いなそう

アラートを出すだけの確認をして、報告までしたのにこの仕打ちか。大企業は傲慢だな。ベネッセってブラックな噂もあるし / “Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった” htn.to/dXsUDT

masatokinugawa.l0.cm/2013/09/xss.be… そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。…セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

ベネッセか。:Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった masatokinugawa.l0.cm/2013/09/xss.be…

Google脆弱性発見ランカーがベネッセのXSS突いたら攻撃されたと見做されて発信元をプロバイダからサービス停止されたってことか!そのためのIPAとJPCERTだと思うんよ(´・ω・`)実際攻撃ができることを検証しちゃうわけだからさ

昔:正しいことを指摘すると怒る先生。 今:XSS脆弱性を告発すると攻撃とみなしてプロバイダにインターネット接続をやめさせるベネッセ(福武書店) ってわけですね~。

ベネッセて相変わらずアレな企業のままなんだなあ……ブラック企業ランキング上位常連はひと味もふた味も違うぜ

@taQya あー、ベネッセ…なんかあそこすべてにおいて杓子定規ですよね。別件ですが、融通の利かない会社です

これはひどい。ベネッセとなく。 | Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった masatokinugawa.l0.cm/2013/09/xss.be…

ベネッセの愚にもつかない対応。プロバイダも盲目的。 / “Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった” htn.to/qm3qFD

ベネッセ。ベネッセベネッセ。ベネッセベネッセベネッセ。ベネッセ。 Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった / masatokinugawa.l0.cm/2013/09/xss.be…

"かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。" / “Masato Kinugawa Security Blog: たぶんXSSが…” htn.to/Nx5WT2

ブラック企業大賞にもノミネートされるわで散々ね>ベネッセ

ベネッセ、情報セキュリティの通信教育サービス始めないかな…

1 2





気になるニュースや事件・事故など
http://blog.livedoor.jp/reer121/
Twitter
https://twitter.com/kinkakuji09



  • 話題の動画をまとめよう