アカウント名:
パスワード:
脆弱性をつく手口を公表してしまうのは確かによくない。でも今回のシステムは脆弱性だなんてレベルではない。予約は自由にできるし、他人の予約はキャンセルできるし、他人の予約を比較的簡単に見ることもできる。高校生でももっとまともに作れるだろうというシステム。
抗議すべきはこんなものを開発して納入した業者とこんなものを受け取った国側の担当者だよ。
それとこれとは別問題ですよ
なぜかマスコミの問題行動は「報道」の名のもとに正当化したがる連中がいるんですよねえ政府たたきできればあとはどうでもいいのかね
そもそも SNS で話題になっているからといって、バズらせて問題を大きくしようという手段はよろしくないので IPA に報告してくれと言っているのに、こういうメディアは「自らの正義の下、何をやっても許される」ような考えで扇動しているだけ。
「あ、ヤバいね、こういうことできちゃうじゃん」って気づいたらまず関係者や IPA に報告するって、個人ですら普通に考えることじゃん?真っ先に記事にして垂れ流すのって責任あるメディアがやることか?
ゼロディの脆弱性と同じ扱いで良いと思うねたとえば脱法ドラッグの調合とか、伏せろやって線引きはマスコミの本骨頂でしょうにじゃなきゃSNSやまとめサイトと何が違うのか、と
ゼロデイとは全然違う。運用前から防衛省は問題を把握していたはず。(把握していなかったなら、それはそれで大問題だ)
問題がわかっていながら運用にGOしちゃった。
ゼロデイの場合、広く使われているシステムで運用を止められないものに未修整の脆弱性が見つかった時の問題。
今回、わかっていながら運用している防衛省に知らせた上で修正する間は報道を控えたとしても、直すとは思えないし実際に直すのは不可能ということになった。そうなると永遠に報じられることは無いが、大きな問題を抱えたままであることを国民は知らないまま悪意の攻撃者にやられ放題。
> 国民は知らないまま悪意の攻撃者にやられ放題。
それ国民に知らせる必要あるんですかね。知らされたところで悪意の攻撃者にやられ放題なのは変わりないですけど。むしろ攻撃を増長することになりますよね。
脆弱性情報の公表が社会的に許されているのは、利用者が脆弱性の影響度を理解して修正パッチを当てたりワークアラウンドを実施するために必要だからです。利用者が入力間違いに気付けるようにだとか、現場が入力間違いを想定できるようにだとか、そういうセキュリティに関係ないのは理由として認められません。開発者による脆弱性の修正を促すためとして許される場合もありますが、それは「直すとは思えないし実際に直すのは不可能」という前提と矛盾しますよね。
ほんとに。予約がなかなか出来なかった婆さんが、ニュースを見て「架空の番号なら予約できるんだ!」と別の市区町村コードと自分の券番号で予約して「間違った番号入れるななんて言われても、そうしないと予約できないんだから!」と悪びれなくテレビ取材に語っておりましたよ。もちろんこんな事されると、その番号に該当する本来の対象者が予約できなかったりする可能性があるわけだけど、
某提唱者の方といい、こういう斜め上な庶民の事あんま考えてないよね(長々書いてる中に番号の先取りパターンは挙げてたけど結論がアレだし)。そんなみんな頭いい訳じゃないのにね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
抗議すべき対象はシステム開発者 (スコア:0)
脆弱性をつく手口を公表してしまうのは確かによくない。
でも今回のシステムは脆弱性だなんてレベルではない。
予約は自由にできるし、他人の予約はキャンセルできるし、他人の予約を比較的簡単に見ることもできる。
高校生でももっとまともに作れるだろうというシステム。
抗議すべきはこんなものを開発して納入した業者とこんなものを受け取った国側の担当者だよ。
Re: (スコア:0, すばらしい洞察)
それとこれとは別問題ですよ
なぜかマスコミの問題行動は「報道」の名のもとに正当化したがる連中がいるんですよねえ
政府たたきできればあとはどうでもいいのかね
Re: (スコア:2, すばらしい洞察)
そもそも SNS で話題になっているからといって、
バズらせて問題を大きくしようという手段はよろしくないので IPA に報告してくれと言っているのに、
こういうメディアは「自らの正義の下、何をやっても許される」ような考えで扇動しているだけ。
「あ、ヤバいね、こういうことできちゃうじゃん」って気づいたら
まず関係者や IPA に報告するって、個人ですら普通に考えることじゃん?
真っ先に記事にして垂れ流すのって責任あるメディアがやることか?
Re: (スコア:1)
ゼロディの脆弱性と同じ扱いで良いと思うね
たとえば脱法ドラッグの調合とか、伏せろやって線引きはマスコミの本骨頂でしょうに
じゃなきゃSNSやまとめサイトと何が違うのか、と
Re: (スコア:0)
ゼロデイとは全然違う。
運用前から防衛省は問題を把握していたはず。
(把握していなかったなら、それはそれで大問題だ)
問題がわかっていながら運用にGOしちゃった。
ゼロデイの場合、広く使われているシステムで運用を止められないものに未修整の脆弱性が見つかった時の問題。
今回、わかっていながら運用している防衛省に知らせた上で修正する間は報道を控えたとしても、直すとは思えないし実際に直すのは不可能ということになった。
そうなると永遠に報じられることは無いが、大きな問題を抱えたままであることを国民は知らないまま悪意の攻撃者にやられ放題。
Re:抗議すべき対象はシステム開発者 (スコア:1)
> 国民は知らないまま悪意の攻撃者にやられ放題。
それ国民に知らせる必要あるんですかね。
知らされたところで悪意の攻撃者にやられ放題なのは変わりないですけど。
むしろ攻撃を増長することになりますよね。
脆弱性情報の公表が社会的に許されているのは、利用者が脆弱性の影響度を理解して修正パッチを当てたりワークアラウンドを実施するために必要だからです。
利用者が入力間違いに気付けるようにだとか、現場が入力間違いを想定できるようにだとか、そういうセキュリティに関係ないのは理由として認められません。
開発者による脆弱性の修正を促すためとして許される場合もありますが、それは「直すとは思えないし実際に直すのは不可能」という前提と矛盾しますよね。
Re: (スコア:0)
ほんとに。
予約がなかなか出来なかった婆さんが、ニュースを見て「架空の番号なら予約できるんだ!」と別の市区町村コードと自分の券番号で予約して「間違った番号入れるななんて言われても、そうしないと予約できないんだから!」と悪びれなくテレビ取材に語っておりましたよ。
もちろんこんな事されると、その番号に該当する本来の対象者が予約できなかったりする可能性があるわけだけど、
某提唱者の方といい、こういう斜め上な庶民の事あんま考えてないよね(長々書いてる中に番号の先取りパターンは挙げてたけど結論がアレだし)。そんなみんな頭いい訳じゃないのにね