10周年のSPコンテンツ!

#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ

これは、セキュリティ・技術問題の話ではありませんので、セキュリティクラスタの方には興味が無いかと思います。 FB良品関係者がどのようなコメントをしたか?また、それに対してどう感じたか?のまとめです。
沖縄 九州 siiis 武雄市 樋渡啓祐 セキュリティ fb良品
15
前へ 1 ・・ 5 6 次へ
MAEDA Katsuyuki @keikuma
「なんちゃってセキュリティ」とか、「オレオレ証明書」とか、「完全匿名化メルセンヌツイスター」とか、「中身は秘密だけど安心です」とか、「規約に書いてあるからOK」とか、そんなんで個人情報を扱うビジネスを許している状況こそ、技術軽視であり、イノベーションが阻害されていると思う。
焼きプリン(特殊市民) @baked_pudding
×「技術的な詳細については運営側からはお知らせしかねますため、」→○「技術的な詳細についてはわたし杉山にはまったくわからないため、」さすがの問題解決能力まだーチンチン。
Hiromitsu Takagi @HiromitsuTakagi
【再掲】こういう嘘情報を広めるのは社会的に有害。これを見た人がこれを信じて、他のサイトを利用するときにまで被害が及ぶ。もはやこのサイトの問題じゃない。 http://http://t.co/OgscQm4i
拡大
Hazel @hazel_nuts
高木先生の「安全なWebサイト設計の注意点」。10年以上前からこれほどまでに警鐘を鳴らされてきているのに、武雄市長やFB良品の中の人は一度でも読んだことがあるのだろうか? 恥ずかしくないのだろうか? http://t.co/ipvWSMpM
uranux_jp @uranux_jp
アドレスはhttpsじゃないけどSSLで暗号化されてるよ、って待てよ!武雄市長はもはや詐欺師だ。 http://t.co/4jemobbY
拡大
高速修復材 @SuDay14
FB良品はマジで使わない方がいいですよ。SSLが入っていないオンラインショップなんてどうぞクレジットカードの情報持って行ってくださいって言ってるようなもん
mekerere @mekerere
FB良品のトップページに市長のFacebook,twitter,ブログへのリンクが追加されている。他にいくらでもやることがあるだろうに、顧客より市長が大事ということ。参加自治体や商品に関する外部リンクが全くないというのも不親切すぎる。
上田修子 @naokoueda
杉山さん!あなたは結構まともな人だと思っていたけど、SSLをケチるほど暴走する武雄市長に意見できないなら、ブレーンではなく、情弱相手の田舎コンサルの典型ですね。RT @TakaFlight @SeijiMatsuda1 市長が安全だとお話したのは 最初のお知らせ
まゆこ(特殊つっこみ) @lamaille_mayuko
私が忙しい間にこんな面白いことが起こってたのかぁ! FB良品XSS祭りのその後:技術要素ではなく発言のまとめ http://t.co/7vd0ubBr
reynotch @reynotch
こんなお知らせを本気で書いているサイトから買う気にはなれん→「登録ボタン押下後のお客様の情報の送信は、SSL(Secure Socket Layer)を利用した通信により、自動的に暗号化の上行われております。」 お知らせ | FB良品 - http://t.co/3GIVc3Dk
AlTarf @AlTarf
なるほど、SIIISって技術力が低いってレベルではなく、欠陥サービスを安全ですと欺す様な会社でしたか。ぃゃぃゃ組織犯罪だね、詐欺だね。まぁコンサルと書いて詐欺師のルビですよって愚物が社長やってるんでは、そういう連中そういう組織だって気付かない方がおかしいけど。
SAKIYAMA Nobuo/崎山伸夫 @sakichan
サービスAを提供するさいに技術的な中核部分をまた別のサービスBから買ってきて構築、というの自体はよくあることだけど、Bの中身に技術的な瑕疵がないかというのはBがないと言ってるからない、のではなくてAの側でチェックしてBがダメなら他サービスを検討、ということが分からないSIIIS?
SAKIYAMA Nobuo/崎山伸夫 @sakichan
というか、発注も検収もできないSIIISなのかなぁ?
フラッシュ(かたまってきた) @flash_takahashi
どうして素人がわかったふりをして技術的(専門的)な事をしったかするのかなぁ~ それって首長をはじめ人の上に立つ人(まともな人なら)はまずやらないことなんですけどね…とても恥ずかしい事です。何故、側近は止めないのだろう? #takeolibrary
Kusakabe Youichi @void_No3
その市長!どんだけ知ったかぶりのバカなんだ。 “@uranux_jp: アドレスはhttpsじゃないけどSSLで暗号化されてるよ、って待てよ!武雄市長はもはや詐欺師だ。 http://t.co/ESK7DSs1
拡大
FRKW808 @annex38
「問題解決能力」とは「問題をなかったことにする能力」であるようだ #takeotoilet
Satoshi Kato @katoSat
FB良品、一度ログインすると次の日もログインされたままなの自分だけ?百歩譲ってログイン窓に「ログインしたままにする」チェックボックスとか利用ガイドに明記してあるとかならね...。ASPの仕様だとしても、注意喚起ぐらいはするだろ常識あれば。 #takeotoilet
MAEDA Katsuyuki @keikuma
FB良品のSSLの件については、こっちをポイントするのが良いかな。2005年の記事であることに注意ください。今ではフィッシング詐欺は日常的に現実の脅威です。 http://t.co/G2laXNJO http://t.co/2FR2IxkW
MAEDA Katsuyuki @keikuma
あらゆるサービスでSSLを使うべきとは言わないけれど、商売に使うんだったら現実的には入れるでしょうと。 https://t.co/vo9IUWLR https://t.co/mFGTp3O0 https://t.co/mFGTp3O0
フラッシュ(かたまってきた) @flash_takahashi
@SeijiMatsuda1 その道の専門家が身分を明かして問題点を指摘するってよっぽどの事だと思いますね。それを無視して『安全です。問題ありません(キリッ!』とか言うのは、もうなんというか救いようがない感じがします。わかってやっているなら悪党と言って良いレベルでしょう。
MAEDA Katsuyuki @keikuma
FB良品の件。誤解している方がいらっしゃる様なので。利用者が改ざんされていない正規のページからメールアドレスとパスワードを入力してログインすれば確かに暗号化されます。偽のあるいは改ざんされたページに入力させられれば問題で、まさに本来そのためにSSLを使うんでしょうという問題です。
Satoshi Kato @katoSat
武雄市図書館が新装開館になった暁には、館内PC(来館者用)からFB良品へのアクセスは禁止にしてもらわないと。でないと、ログアウトしなかった利用者の個人情報ダダ漏れ請合いだから。 #takeotoilet
おさ/スパム関連は質問前に固定ツイ見て @osapon
SIIISの人って、素人なの?サービスの企画/運営って書いてあるから、技術的なことは理解できてないんだと思う。
mekerere @mekerere
誰がやってるのかわからないけど、wikipediaのF&B良品(not FB良品)のノートがおもしろい。疑問点がよくまとまっている。 http://t.co/6jt9CCnU
しめじ @ctake_shimez
FB良品のフォームに関する問題、さすがに年末までには対処されると思っていたんだけど…。なぜ入力フォームのページからHTTPSである必要があるかは、こちらで。 http://t.co/vWZ2nwPT
フラッシュ(かたまってきた) @flash_takahashi
@SeijiMatsuda1 まわりには提灯持ちのイエスマンか、なんとか自分の商売に利用してやろうという茶坊主しかいないのでしょうね。気の毒な人です。
Satoshi Kato @katoSat
それ以前の選択の問題というのは、仮にも200店が並び立つ(予定)のモール構築にそんな半端なASPを選んでしまったのか、残念というお話。makeshop.jpのこりゃヤバいという点は、同社サイトでマニュアルが公開されているので詮索してください。 #takeotoilet
Aryn @aryn_ra
FB 良品の件は「おもしれーなー。10年前から言われている問題すら理解できない程度の技術力でも、口先だけで IT 屋ってのは出来るんだなあ」ぐらいの認識だったけど、void 氏の参戦により腹筋が崩壊した
Aryn @aryn_ra
私もあと何年かしたら、田舎の市長や町長、中小企業のワンマン社長相手のコンサルでもやろっかなあ。頭いい人がやる仕事だと思ってたけど、客さえ選べば自分でも出来そうな気がしてきた
のーそふとばんく(ソフトバンクアンチ猫) @no_softbank
何じゃこりゃ RT @void_No3: その市長!どんだけ知ったかぶりのバカなんだ。 “@uranux_jp: アドレスはhttpsじゃないけどSSLで暗号化されてるよ、って待てよ!武雄市長はもはや詐欺師だ。 http://t.co/PgSqPObW
拡大
ヘルレイザー八頭大 @gainersanga
武雄市長、実はhttpもhttpsも知らんのじゃなかろか(´д`)アホスギ/こういう嘘情報を広めるのは社会的に有害。これを見た人がこれを信じて、他のサイトを利用するときにまで被害が及ぶ。もはやこのサイトの問題じゃない。 http://t.co/ZwiH7WsS
拡大
ChaMiu @Chamiu_IT
株式会社SIIIS代表の使う「事実」とは、10年前からわかりきっている明白なちょんぼではなく、株式会社SIIIS代表の都合で問題だと信じる事象であることが明白となった。ウソジニアさん。 / 「from:takaflight」のツイポーート http://t.co/xy5rxtlZ
フラッシュ(かたまってきた) @flash_takahashi
@SeijiMatsuda1 百歩譲って素人さんのしったかはスルーしたとしても、○○コンサルとかその道でご飯を食べてるプロが知りません、解っていませんでした…というのはいただけないです。個人的にはさっさと退場して欲しいです。※なんだか愚痴ってしまいごめんなさい。
Rita_Francois @Rita_Francois
@Hamham_Fenrir 平分でSSLって頭沸いてるですか。
🐹 @Hamham_Fenrir
南砺市長( @tanakatoga )、南砺市( @nantocity )を元気にしたいのは理解できますが、FB良品はダメだと思います。技術者は揚げ足取りをしたいわけではありません。耳を傾けてください。
Rita_Francois @Rita_Francois
FB良品は技術的な問題が多すぎて容認できる状況に無い RT @Hamham_Fenrir 南砺市長( @tanakatoga )、南砺市( @nantocity )を元気にしたいのは理解できますが、FB良品はダメだと思います。技術者は揚げ足取りをしたいわけではありません。耳を傾
YUKI Keiichi @yuki_k1
FB良品にしろ図書館にしろ色んなキャリアや知見を持つ人が念力デバッグというかコンサルティングしてくれてると考えたら学会長の気もいくらか休まるのではないか。自分への人格批判がなされてるととらえるとしんどくていちいち感情的な反応をしてしまうのだろう。 #takeotoilet
🐹 @Hamham_Fenrir
武雄市(特に樋渡啓祐)がどうなろうと知ったことではないが、南砺市がどうにかなるのは困る。
Joji Maeno @joji
高木さんが気に入らない人であっても、この件はちゃんと耳を傾けた方がいいです。特にお金が絡むとき、セキュリティは大前提です。 RT: @hiwa1118: 全然。 RT @TAKAHIRO_OTA RT @hazel_nuts: 高木先生の「安全なWebサイト設計の注意点」。
フラッシュ(かたまってきた) @flash_takahashi
お店の店員が問題を起こせば、その店員がアルバイトであろうと派遣社員であろうと、正社員ではないからといって店の責任は免責されません。ビジネスでも同じで、下請・外注・委託? 関係ありません。問題が起きたら運営主体の責任です。他人の責任には出来ません。 #takeotoilet
dechnostick @dechnostick
#takeotoilet 一連のやりとりは「サービス提供側」をmakeshop、自身を「運営側」として分けて話してる。理屈上はその通りだけど、makeshopであることは顧客からは見えない。顧客からはあくまでSIIIS(ないし武雄市)がサービス提供側にしか見えない。
金閣 @inerdman
https://t.co/nK3TM63B まともに指摘してる方には頭が下がる。使命感なきゃこんな裸の王様は無視するだろ。
糸石 浩司 @itoishi
@inerdman ところがどっこい、こんなアホが社会的には影響力があるんですよ。「武雄市に学ぶ」みたいな市区町村主催のセミナーやら勉強会やらがボチボチあるらしいんです。
金閣 @inerdman
@itoishi 声をあげていかないといけないのはわかるんですけどね…あのやり方みてると関わりたくない。放置するとますますバカが釣られそうですが。
ぴなな(特殊ひきこもり) @piospe
樋渡の対応方法が斜め下に行っちゃうのも、特性のうちなんだよね……指摘の意図を理解していないから、変な文面を作って面倒なことになっている。サイトの安全性などを樋渡が言っても、どうにもならないし、嘘を言っちゃっているし。ASP側に問題があるから尚更。 #takeotoilet
お好み焼きにはカープソースをどうぞ。 @IshidaTsuyoshi
こういう嘘情報を誰が市長に吹きこむのかが気になる。未だにそういう『業者』が存在しているのだろうか? RT @HiromitsuTakagi 【再掲】こういう嘘情報を広めるのは社会的に有害。これを見た人がこれを信じて、他のサ… http://http://t.co/cX4PTZBY
拡大
Otsuka @2chard
なんだか、頑なに問題を理解しようとしないと読めてしまうのだが、多分素養のない人なのだろう。技術的なアドバイスする側も技術力不足のようだし。ネットショップはやっぱりよく確かめないとこわいなあ。> 武雄市市政アドバイザーのさすがの問題解決能力 http://t.co/G6I41Imf
おにくやさん @nomoreunk
「問題が発生している場合は、遠慮無く小職までご連絡ください」ではダメだと言うのがわからんのだろうか。問題が発生したとき、それを速やかに確認できるとは限らないのがインターネットな世界だと思うが。 http://t.co/3lnrCsY7
おにくやさん @nomoreunk
個人情報を盗まれた場合、盗まれた本人がその事実に気づけると思うのか? 盗んだ組織、あるいは管理していた企業が事実を明らかにして初めて分かるんだよ。
本物(英検2級) @MO6jijii
そもそも、なぜ市のIT業務を受注してる業者が「市政アドバイザー」(しかもICT関連担当のアドバイザー)を兼務できるのだろう。客観的な視点からアドバイスできるのだろうか。【武雄市市政アドバイザーのさすがの問題解決能力 - Togetter】 http://t.co/kat091HB
前へ 1 ・・ 5 6 次へ

コメント

とげとげ @togetoge10 2012年12月16日
市長のリテラシーのなさからすると、予想通りの反応、といったところでしょうか。ユーザーの皆様には、御愁傷様としか言えません…。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月16日
まとめのタイトルに「その後」と書きましたが、まだこちらも進行中のようです。「FB良品サイトリニューアルでXSS祭りまとめ」 http://togetter.com/li/420276
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
まとめを更新しました。 fb-ryohin.jp/ #takeotoilet #FB良品
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月20日
編集可能状態にしておりましたが、どうもURLを弄られた形跡があったため、修正し編集不可能状態にしました。 もし、何か問題があって削除などの必要がある場合はご一報ください。
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
まとめを更新しました。どうやら、そもそも『安全宣言』なんてものは存在していないようです。 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月30日
市政アドバイザーの発言に虚偽(間違い?)があったようなのでまとめを更新しました。 #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2012年12月31日
「釣りサイトでウマー」的な話を付記しました(笑 http://fb-ryohin.jp/ #takeotoilet
Seiji Matsuda R.I.P. @SeijiMatsuda1 2013年1月1日
まとめを完結しました。『FB良品』を利用する方はせいぜい気をつけてください。 http://fb-ryohin.jp/ #takeotoilet
Jean-Luc Picachu @JeanLuc_Picachu 2013年1月3日
担当者の意識がこのレベルだとSQLインジェクションのテストとかしたらボロボロになりそうだな。
ログインして広告を非表示にする
ログインして広告を非表示にする