気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
mala.hatenadiary.orgエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント43件
- 注目コメント
- 新着コメント
kogawam
噂を聞いて、さっき探して1個報告した。 http://d.hatena.ne.jp/kogawam/20100223/1266942303 (IPAにも届け出た)/追記:はてなから修正完了連絡が来てました。報告を受けたその日のうちに完了。速いです。
mi1kman
急ぐのであればid:HiromitsuTakagiやid:ockeghemのようにサイトとIPAの両方に連絡すれば良い、ガイドラインでも認められている/サイトによっては脅迫と取られるのでこれを他人に勧めるのは良くない
nilnil
何のために経産省が旗振ってまでして脆弱性報告の仕組み作り上げたと思ってんだか。/「脆弱性報告の謝礼を「はてなポイント」や「カラースター」で代用するという風習がある」<は●なならやりかねないw
monjudoh
『ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインの IFRAME内で実行したりしているのが普通です。』
t_horie
脆弱性の報告はIPA通すと諸々の手続きが面倒くさくなることを知っているため、サービス開発者同士のネットワークでは、IRC、各種IM、Skypeなどで中の人に直接知らせるのが普通です。そして脆弱性の報告を受けたら、お礼
hasegawayosuke
「つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう」この視点はなかった。ところで誰も寿司も焼肉もおごってくれないおれ負け組。あ、MSからはいろいろ奢ってもらってるけどアメリカの飯は
clicklog
"脆弱性の報告はIPA通すと諸々の手続きが面倒くさくなることを知っているため、サービス開発者同士のネットワークでは、IRC、各種IM、Skypeなどで中の人に直接知らせるのが普通です。そして脆弱性の報告を受けたら、お礼
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、... 適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
mala.hatenadiary.org
mala.hatenadiary.org
mala.hatenadiary.org
mala.hatenadiary.org
www.ntv.co.jp
www.fnn.jp
comic.webnewtype.com
bitcoin.dmm.com
anond.hatelabo.jp
anond.hatelabo.jp
note.com/kazakura
togetter.com
onk.hatenablog.jp
gigazine.net
togetter.com
vimeo.com
pc.watch.impress.co.jp
okwave.jp
2010/02/26 リンク