XSSについての白Zさんの見解

ガルヒGarhi @GarhiTech

@fetus_hina そこは様々なリスクの一つであって、誰もしない方がいいとはいってませんし、した方がいいとは言ってます。

れじすたー @regestry

@WhitehackerZ1 なるほど。様々な誤解があったことこちらからもお詫びいたします。ですが僕からの意見はそちらが謝罪された『セキュリティ関係に無頓着(当人がそう思わずとも周りからはそう見える)』の部分が全てです。僕に謝るだけではなくそこからの改善を見せていただきたいです。

相沢陽菜 @fetus_hina

@WhitehackerZ1 XSS対策なんて大して手間のかかるものでもないのですから「絶対やっておきましょう」でいいのでは？

ガルヒGarhi @GarhiTech

@fetus_hina @WhitehackerZ1 ですから手間の問題によりますね。新規の分に関しては当然それが好ましいと思いおますが、知り合いに作って貰った程度のHPであればそれこそ無数にあると言って良いわけで、そこはXSSあるなら（事業体の規模関係なく）１人でも見るなら絶対

ガルヒGarhi @GarhiTech

@fetus_hina @WhitehackerZ1 直せ！と個人事業主に言うのですか？それこそナンセンスだと思うのですが。その層は総じて『どうでもよい』訳ですし、信用面が・・・など至らんおせっかいだと思います。

Diamond_Hackerz @Diamond_Hackerz

@WhitehackerZ1 @fetus_hina 感情的に書かないでも良いですよ。リスク評価して企業にとってリスク値の高いとこから対策していく。やらないじゃない、優先度を付けている、それでいいと思います。

Diamond_Hackerz @Diamond_Hackerz

@WhitehackerZ1 @fetus_hina 小さい会社が、XSS対策を最優先していたら、従業員に給料払えなくなって、取引先への支払いも滞りました、じゃ、シャレになりませんし。

がる @gallu

@Diamond_Hackerz @WhitehackerZ1 @fetus_hina 「XSS対策を最優先にしてたら利益が出せなくなる」程度のスキル/知識レベルであれば、事業内容から「システム開発」を外してみるというのも一つの選択肢かと思いますよ。

ガルヒGarhi @GarhiTech

本日は約３０サイトを検証して２０%強に当たる７サイトでXSS脆弱性が見つかりました。ただ、幾ら調査目的とはいえ、皆さんが言うようにある方がおかしいいと言う論点には疑問を感じてます。明日からも継続するかは慎重に検討しますが、現実の数字には非常に驚きました。

ガルヒGarhi @GarhiTech

セキュリティはそれぞれの立場によって見方が異なる。楽をするとかは大雑把な言い方だが、経費削減・効率化は当たり前であり、我々は特にIT界ではない中小企業・個人事業主に負担をかけるのではなく、HP製作会社にこそセキュリティがなんたるか矛先を向けるべきであると考える。

ガルヒGarhi @GarhiTech

我々の主張は決して間違っていない事を調査によってハッキリする日は近いだろう。心配しなくても、IT界じゃなかったらど～でもいい寄りの回答が多いから。

ガルヒGarhi @GarhiTech

ただ、だからと言って放置推奨するのではなく、開発会社に対する啓発やどうやって危険性を訴えていくかは今後の課題であり、矢印がセキュ企業⇒企業ではなく、セキュ⇔開発⇔企業へとならなくてはならないと言っているだけですので誤解なく。

ガルヒGarhi @GarhiTech

静論。XXSの危険性（居酒屋おやじは後回しにするか優先順位は自由に決めてよい） http://t.co/6gGpSEpg @whitehackerz1さんから

dara-j(最適化済み) @dara_j_

激しく同意“@gallu: @Diamond_Hackerz @WhitehackerZ1 @fetus_hina 「XSS対策を最優先にしてたら利益が出せなくなる」程度のスキル/知識レベルであれば、事業内容から「システム開発」を外してみるというのも一つの選択肢かと思いますよ”

ガルヒGarhi @GarhiTech

Xssはあかん。whitehackerz 談