#FB良品 XSS祭りのその後:技術要素ではなく発言のまとめ
-
SeijiMatsuda1
- 20106
- 8
- 3
- 11
-
- いいね!11
そして、見事なくらい何も理解していないらしい(笑
杉山 隆志
@TakaFlight
@SeijiMatsuda1 ご意見ありがとうございます。FB良品においてのXSSの懸念の話をしております。 重ねて調査、ご意見お疲れ様です。感謝申し上げます。
2012-12-31 17:44:45
杉山 隆志
@TakaFlight
@SeijiMatsuda1 なお具体的な対処方法等のは幾つか考えてうるかと思いますが、詳細は公開できかねますので、ご了承ください。
2012-12-31 17:53:03はい、また出ました。
『 具体的な対処法はいくつか考える 』
つまり、現時点では 『 未対応である 』 と自覚しているわけですよ、この方。
Seiji Matsuda R.I.P.
@SeijiMatsuda1
.@TakaFlight 別に感謝なんぞ要らんですよ。今回FB良品の問題点を指摘している方々は多分皆同じだと思いますが、「自治体主体のECサイト」という触れ込みによって「地方を元気にさせたい」という気持ちのある方々が不利益を被らなければ良いと思っているだけです。
2012-12-31 20:28:42
Seiji Matsuda R.I.P.
@SeijiMatsuda1
.@TakaFlight にも関わらず、FB良品の実質的主体者である、武雄市の市長である樋渡啓祐という人物は「くどい。さようなら」というコメントとともに私をブロックしました。 それが現実です。 そして、そういう首長の自治体の市政アドバイザーの言葉がどこまで信用出来るのでしょうね?
2012-12-31 20:31:20以上。やはり何を伝えても実りが無い。
事故が起こるまでは問題点が放置されている可能性が高く、 『 FB良品 』 は、それでも構わない人だけ自己責任で利用すべきであるという結論で締めたいと思います。
同じタイミングで質問をしていた方がいらっしゃるので、それは別立てにして以下にまとめます。
そのため、時系列が前後していますがわかりやすくするためで、読んでいる方の誤読を誘う目的では無いことをご理解ください。
あろTAKE!(ときどき執事&メイド)
@aro_take
技術的に「中だけSSLだと不十分」って解ってます? QT @TakaFlight: @SeijiMatsuda1 こちらのお知らせでお伝えしている通りです。http://t.co/ng6wo7Sn こちら以上のお話であれば推測でなく事実を教えてください。 @hiwa1118
2012-12-29 20:49:36
杉山 隆志
@TakaFlight
@aro_take そちらのご解釈を推測ではなく、事実でお示しください。提示されたまとめも含めて、サービス提供側に懸念はお伝えしていて、現時点はお示ししたお知らせが、サービス提供側からの回答を踏まえた結論ですが、さらに事実として対処が必要であれば対処について検討頂きます。
2012-12-29 20:54:05
あろTAKE!(ときどき執事&メイド)
@aro_take
推測?6を参照してください:https://t.co/zKhoYDBI QT @TakaFlight: @aro_take そちらのご解釈を推測ではなく、事実でお示しください。
2012-12-29 20:57:34
杉山 隆志
@TakaFlight
@aro_take さきほどの回答の通りです。サービス提供側には推測も踏まえて、対応の検討をしていただき、お示ししたお知らせが、サービス提供側からの回答を踏まえた結論になります。技術的な詳細については運営側からはお知らせしかねますため、回答が不明瞭な部分があることをご了承ください
2012-12-29 21:01:38
あろTAKE!(ときどき執事&メイド)
@aro_take
@TakaFlight 事実で示しましたけど?「安全です」と言っていた宣言が【間違いだった点】はご理解いただけましたでしょうか?
2012-12-29 21:04:44
杉山 隆志
@TakaFlight
@aro_take お伝えした通りです。サービスを提供されて運営する側からすると、実際に 事実として 被害が発生するかどうかが重要だと考えております。その点についての問合せの回答が、現在のお知らせの内容になります。
2012-12-29 21:08:27
あろTAKE!(ときどき執事&メイド)
@aro_take
@TakaFlight 検討や精査は必要ですが、認識が軽すぎるのでは?「現実的な脆弱性がある=事実として被害が発生する」と捉えないとネットショッピングなんか出来ないでしょ?まして「安全です宣言」はとても拙いと思います。
2012-12-29 21:12:44
杉山 隆志
@TakaFlight
@aro_take 現実的な脆弱性があるということが「事実」として明確になっているかどうかが重要だと考えています。技術的な内容も含めて報告いただき、お客様にご迷惑がかからないことも報告いただいた上での「安全です宣言」ですので、運営側としてはこれ以上を求めるのは難しいです。
2012-12-29 21:14:54
あろTAKE!(ときどき執事&メイド)
@aro_take
@TakaFlight 報告を鵜呑みにしてはダメですよ。検証しないと。私も間違います。運営上、言い辛いことはあるでしょうが、バレた方が圧倒的に都合が悪くなります。組織と運営の問題ですのでお任せしますが、正直に公表した方がよいと思います。今からじゃ取り繕うのは無理でしょう。
2012-12-29 21:36:38
杉山 隆志
@TakaFlight
@aro_take 報告の鵜呑みはまずいですね。この手のサービスは何らか問題があれば正直にお話することが重要だと私も思います。今まで出ていたお話以上に問題が発生している場合は、遠慮無く小職までご連絡ください(公開で全く構いません)真摯に対応させていただきます。
2012-12-29 21:42:29
あろTAKE!(ときどき執事&メイド)
@aro_take
@TakaFlight まず「パッと見ただけでhttpの状態の入力画面が存在する」時点でアウトです。2003年には明らかになっている問題です。こちらの例の方が適切ですね。 http://t.co/ZnBYF9Wk
2012-12-29 21:57:03
杉山 隆志
@TakaFlight
@aro_take なるほど。その意味でいうと、そこは話が戻ってしまうのですが、現時点までのネット上にあるご意見については、目を通させていただいているので、その問題については、サービス提供側においても検討いただいており、回答をしていただいています。ありがとうございます。
2012-12-29 22:03:56
あろTAKE!(ときどき執事&メイド)
@aro_take
@TakaFlight 了解しました。ただ、管理側としてはネット上の意見を拾うとかいう前、サービス提供開始前に潰し込んで欲しかった内容です。今回はショッピングサイトであり、今この瞬間にも顧客を危険にさらしています。可能な限り迅速な対応を期待しております。
2012-12-29 22:13:19
杉山 隆志
@TakaFlight
@aro_take 申し訳ありませんが、『今この瞬間にも顧客を危険にさらして』いる認識は持っていません。そこについては、繰り返しになりますが、現時点においては問題が無いという報告をうけていますし、そう運営側でも判断しています。
2012-12-29 22:17:11
杉山 隆志
@TakaFlight
@aro_take 繰り返しになって恐縮ですが『今まで出ていたお話以上に問題が発生している場合は、遠慮無く小職までご連絡ください(公開で全く構いません)真摯に対応させていただきます。』となります。今後ともご指導のほど、よろしくお願いいたします。
2012-12-29 22:19:12
杉山 隆志
@TakaFlight
@aro_take この回答は少々筆が過ぎていましたね。申し訳ありません。『今この瞬間にも顧客を危険にさらして』いるということが全くゼロ(=完璧に安全なサイトとなっている)とまでは言うつもりはありません。時機に則り、より安全になるようにしていく必要性は当然あると考えています。
2012-12-30 02:13:02
杉山 隆志
@TakaFlight
@aro_take その上で、繰り返しになりますが『現時点までのネット上にあるご意見については、目を通させていただいているので、その問題については、サービス提供側においても検討いただいており、回答をしていただいて』いますし、更に十全な安全性のための対策を提案・実施頂いています。
2012-12-30 02:15:30