#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ
- SeijiMatsuda1
- 20109
- 8
- 3
- 11
JPドメインを犯罪目的で、trace困難なように取得するには、登録業者を選ぶ必要がありますが、その中身についてはさすがに言及しません。児童ポルノ販売サイトがその種のことをしてた実績はあったようだし、それから登録規制がかかったようにも見えないけど。
2012-12-31 11:11:44まだこの虚偽説明を訂正していないのか。 http://t.co/OJtzmXM7 「ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。※SSLによる暗号化通信は、第三者による情報の盗用、暗号の解読が極めて困難…」
2012-12-29 21:07:10@SeijiMatsuda1 回答の明言をさけていますか? 12/11において、 XSS の問題について回答をさしあげ、 12/18 で SSL系の問題について回答をさしあげておりますが。
2012-12-29 21:10:43あまりに埒が明かないので、質問をかえてみる。
@TakaFlight なるほど。つまり、12/18(その後改変)で書かれていた文言がSSLの問題に対する回答であり、「12/18以降に関しては安全である」と判断してよろしいわけですね?
2012-12-29 21:19:32@SeijiMatsuda1 現在のサービス提供者からの情報から判断する限りにおいては、そうです。サービス提供側とは連絡を密にとっておりますので、今後何らか変更があった場合は、速やかに「お知らせ」にてお知らせいたします。
2012-12-29 21:24:18情報から判断するだけで、検証はされていないということで理解いたしました。 お付き合いありがとうございます。 RT @TakaFlight :現在のサービス提供者からの情報から判断する限りにおいては、そうです。 @hiwa1118
2012-12-29 21:26:49ありゃ?まだ終了じゃないみたい(笑
@SeijiMatsuda1 いえ。『技術的な内容も含めて報告いただき、お客様にご迷惑がかからないことも報告いただいた上』で、運営側としての判断をした結果です。『技術的な詳細については運営側からはお知らせしかねますため、回答が不明瞭な部分があることをご了承ください』
2012-12-29 21:32:14運営企業代表、兼『 ICT系市政アドバイザー 』であるはずの杉山氏がサービス提供企業の 『 MakeShop 』 に責任転嫁をする図。
まあ、実際にシステムはMakeShopのものだが、運営企業が出来ることをきちんとやっているわけではないし、そもそも私が聞きたいことはそんなことじゃない。
.@TakaFlight 技術的な詳細なんて聞いておりません。市長が「安全だ」と言ったり、サイトで「安全だ」と言ったりする部分のタイムラグの違和感と、関係者の発言に違和感があったので、いつ安全だったか質問しただけです。 http://t.co/N7hKaNJs @hiwa1118
2012-12-29 21:36:48@SeijiMatsuda1 市長が安全だとお話したのは 最初のお知らせでお話した XSS の「問題」解決の件ですね。それ以降に SSL に関する「懸念」が出てきて、その懸念に対しての回答が12/18だったということです。前者は問題に対する解決で後者は懸念に対する回答になります。
2012-12-29 21:40:08出ました。
つまり、最初の回答の違和感どおり 『 XSSに関しては安全 』 という話にしたかったわけだよね。
SSL問題に関しては 『 懸念に対する説明 』 はしてあったが(実際にはその説明もトンチンカンだが)、安全であるか?危険であるか?という認識は全くないということだねえ。
.@TakaFlight 「懸念に対する回答」ということは「安全であるという意味では無い」という意味で仰っていますか? どうも、回答されていることが不明確なのですが? @hiwa1118
2012-12-29 21:42:56@SeijiMatsuda1 問題に対する解決は、何らか問題があったが解決をしました、で懸念に対する回答は、掲示したお知らせにあるように『一部のお客様から〜懸念をいただきましたが〜保護されておりますので安心してご利用ください。』のように回答をする形になります。
2012-12-29 21:45:14.@TakaFlight つまり、先程も書きましたが「情報から判断するだけで、検証はされていない」ということで理解して良いわけですよね? お付き合いありがとうございました。 @hiwa1118
2012-12-29 21:49:21@SeijiMatsuda1 なぜそこにご判断が戻られるのかが不明ですが、違います。『技術的な内容も含めて報告いただき、お客様にご迷惑がかからないことも報告いただいた上』で、運営側としての判断をした結果です。
2012-12-29 21:51:10.@TakaFlight 「ユーザに迷惑がかからないという判断を運営側が12/18にしたので安全です」と言えば良いだけの話ではないのですか?それと、メールフォームに問題が無いのであれば問い合わせをフォームに戻したら如何ですか? @hiwa1118
2012-12-29 22:00:48正直なところ、FB良品に関して技術的な危険性がそれほど高いとは思っていない(低いわけじゃない)。「わりとありがちな雑なサイト」という印象。 ただし、それを隠して「安全だ」と言うことに違和感が大きいだけなんだよね。 しかも、「運営者が一切検証してないだろ?」ってのはかなり微妙だ。
2012-12-29 22:06:54もちろん、「やろうと思ったら結構いろんなことが出来ちゃう」 そこまで手間をかけてやるヤツがいるかどうか?だが、お金や商品が動くECサイトであればやるヤツが出てきても不思議じゃないんだよなあ。
2012-12-29 22:08:24