#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ
- SeijiMatsuda1
- 20112
- 8
- 3
- 11
FB良品についてはこちらにまとまっています。
まとめについて
このまとめは、必要以上に 『技術的な部分には言及していません』。
また、 『FB良品』 に関しては他にも 『多くの話題や疑問提示』 などがありますが、そういう部分にも言及していませんし、まとめられているtogetterも多く存在していますが、あえて 『リンクもしていません』。
このまとめの主旨は 『安全である』 という発言がどこまで 『根拠がなくいい加減なものであるか?』 果たしてその発言を発している人物を 『信用しても良いのか?』 更に 『サイトに書かれていることの信憑性はどうなのか?』 という部分です。
必要以上に多くの要素を盛り込まなかった理由は、 『興味を持ったら、人の発言を "狂信的" に鵜呑みにするのではなく自分で調べろ』 と思っているからです。
もう一つの理由は、情報が多岐に渡ることで、本当にこれを伝えたい人( 『FB良品』を利用しようとする方々)が混乱するのを避けるためです。
『 FB良品 』にXSSの脆弱性があるということで祭り状態になった後の2012年12月11日に以下のような文章がサイトに掲載された。
この度は、検索機能に関連する不具合があり、ご利用のみなさまには、ご不便、ご心配をおかけしましたことを、お詫び申し上げます。
検証の結果、この不具合により被害が生じるアクセスは生じていないことが確認されましたので、ご安心下さい。
今後提供される、検索機能については、不具合を排除しております。
今後とも、FB良品をよろしくお願いいたします。(2012.12.11)
それを受け、 『FB良品』 の 『登録商標の保有者』 である某市長が以下のようなTweetをする。
樋渡啓祐
REVIC、関西学院大学客員教授など少々。りんごおじさん。ランナー。前武雄市長、元総務省課長補佐
FB良品サイトの検索機能の不具合についてご指摘頂いた皆さん感謝。この度はご心配をかけました。すみません。関係各所の対応により問題解消済みで、念のためシステム担当に確認しましたが、被害が生じるアクセスも発生していません。ご安心下さい。今後とも「FB良品」をよろしく!
2012-12-11 22:33:00問題解消済み?
じゃあ、某市長の 『解決済み発言』 の後に出てきた、 『FB良品』 を運営されている企業の代表で、更に 『市政アドバイザー』 であるこの方の 『この発言』 は何なのでしょう?
つまり、「まだ未処置」 https://t.co/qgRdXrVN http://t.co/6J5gmxhr
2012-12-12 09:25:31問題が未処置であるにも関わらず「関係各所の対応により問題解消済みで、念のためシステム担当に確認しましたが、被害が生じるアクセスも発生していません。ご安心下さい」と言える根拠はなんだろう? https://t.co/ifxyMd26 http://t.co/6J5gmxhr
2012-12-12 09:30:17ちなみに、この 『FB良品』 を運営している企業の代表で、 『市政アドバイザー』 であるこの方は、以前(2012年5月)にこんなTweetをされています。
@ryoumax そこはそうなんですけども、個人情報については守られないことに恐怖を感じる方もいるでしょうから、難しいですよね。僕なんか、基本性善説なので、道徳でいいじゃん、とか個人的にはおもっちゃうんですが(cont) http://t.co/wUrc2a74
2012-05-11 09:12:59「基本性善説なので、道徳でいいじゃん、とか個人的にはおもっちゃうんですが(仕事がそれじゃまずいのですけどね(^^ゞ)」
うん。仕事がそれじゃまずいでしょう(笑
『FB良品』 は、そういう方が代表をされている企業において運営されています。
なんとなく、こんな状況になったのが理解出来ますね。
「ちなみにFB良品各ショップの売上げも順調のようです」 https://t.co/4OEKaRzQ その売上の部分が商品提供者や利用者の被害ではないことを切に願う。 http://t.co/6J5gmxhr
2012-12-12 09:31:58あれ? 『問題解決済み』 でしたよね?
では、 『FB良品』 にASPを提供している企業の 『この発言』 は何なのだろう?
@katoSat ご連絡・ご指摘ありがとうございます。ご指摘いただいた件につきまして、修正・対応を進めさせていただいております。状況を真摯に受け止め、対応させていただきたいと思います。
2012-12-12 11:27:50MakeShop側も未処置。はて?何がどう安心なのかを説明する義務があるのではないだろうか? https://t.co/vkYmsZPy http://t.co/6J5gmxhr
2012-12-12 11:50:33祭りになったことに関しては、こういう意見もある。
他のサイトにも影響及ぶのに攻撃対象だと見なしたら土日に平気でゼロデイ晒すし「こんなのも見抜けないの」とかいうなら導入店舗2万サイトぐらい全部に言って回って来いよ。現実的なリスクとか予算に見合った実効性のある対策とか無視して、セキュリティに関する事柄が完全にクレームの道具になってる
2012-12-12 20:53:55「ゼロデイよくない」というのは理解出来ないでもないが、問題は対策が未処置でありながら、その状態のサイトを「安心です」とか言ってしまう市長の発言なんだよなあ。 https://t.co/whC2FZ1W http://t.co/6J5gmxhr #takeotoilet
2012-12-13 11:32:40一応、フォローしておくと確かに 『ゼロデイ攻撃』 自体は問題があると私も認識している。
でも、それ以上に 『安全性が確保されているかどうかを、認識・確認出来ていない状態』 にも関わらず、 『大丈夫だ』 と運営者側の人間が発言するのを私は問題視しているので、このまとめを作成した。
この後、FB良品の実質的システムである、ASP提供企業が「一部」不具合を解消(したらしい)。
詳しくは、自分で検索するなりしてください。
田中市長( @tanakatoga )、FB良品利用者の方々 twitterに書かれてるような心配事は発生しないのでご安心を。 @ronzo7415 風説の流布はやめたら。犯罪だよ。本当に何かあるならこんな所に賢しげに書くより、FB良品ポータルの問合せ先へどうぞ。
2012-12-14 21:18:26