ベネッセのサイトにXSS脆弱性がある教えてあげないと→プロバイダにネット接続を止められる

XSS問題などのセキュリティ関連を多く発見・通報していたことで一部ではよく知られるMasato Kinugawa氏が、とあるサイトでのXSS発見と報告が原因でインターネット接続を止められていたそうだ（氏のブログ）。

報告先サイトからISPに対し「不正アクセスを行った」と通報がされたそうで、ISP側には「こういった行為をしないという誓約書を書かなければいけない」という事態になったそうだ。
サービス提供者に事情を説明するも、「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」ということで通報を撤回するつもりはないという。氏はこの件について、

＞かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

と、サービス提供者側に苦言を呈している。

http://security.slashdot.jp/story/13/09/11/1010257/XSSを報告したためにインターネット接続を止められるという事案発生

住宅のドアを片っ端からガチャガチャして、鍵が掛かってない家を見つけたので嬉々として「この家カギかかってないですよー！」と報告するようなキチガイ行為

ベネッセロゴ
http://sofu.or.jp/image/benesse.jpg

池田大作死んでるけどお前ら信者どもはこれからどうするの？
あれは尊人でもない、日本の偉人の生まれ変わりでもない、本名が成太作(ソン・テチャク)で単なる在日朝鮮人２世だ
日本の太古の偉人の生まれ変わりが在日朝鮮人なわけないだろ
戦後、信者を増やせと人の家に多数で押しかけて無理やり学会信者にしてきた末裔がお前らだ
お前らは仏敵なんてありもしない言葉を信じて他人を監視、裏を返せば学会員同士お互い監視し合ってるという恐怖に支配されてるんだよ

洗脳されてる時は怖くない
解けた時に一番恐怖を感じる

お前ら学会員はまともな人たちを苦しめてきた分、死ぬまで苦しみ狂って死ぬんだから死ねよ
そして日本人の後ろに隠れて日本人同士憎しみ合わせてたクソ朝鮮人幹部たち、
お前ら正体がばれたら日本人の学会員たちになぶり殺しにされるから覚悟しておけ

幹部No.2の朝鮮人が他の朝鮮人や公明党と組み池田大作の息子(中共派)と対立してる真っ最中らしいぞ
お前ら末端は知らされてないだろだから馬鹿みたいにいつまでも騙されてるんだよ

中世ジャップランドではよくあること

>>2
現実とは違うんだよ馬鹿
脆弱性を放置することで大手のサイトにウイルスを仕掛けられて発信源となる可能性があるんだよ
試すのもどうかと思うが見つけたなら報告した方がいい

中世

>>2
住宅はサービス業じゃないからたとえがイマイチ

このニュースより>>2の知恵遅れぶりに驚愕した

ジャップってほんと頭固いよね

>>2
この銀行の金庫鍵かかってないですよーのが近いが

Googleの脆弱性報告者リストで2位の人なんだよな接続止められた人
http://www.google.com/about/appsecurity/hall-of-fame/

プロバイダも頭おかしい

>>2
ここに不審物仕掛けられてますよーって警察に言おうとしたらしょっぴかれた

こんな知恵遅れ集団が教育とかいってんのかよ

ACCS裁判と一緒だろ。

善のハッカーは徹底的に保護してやらんと
悪の中華ハッカーからネットを守れないぞ。

中世だから仕方ない

裏手の扉からのみ入ってくるウイルスまき散らすやつがいるから
裏手の扉空いてるから閉じたほうが良いよって警告したら
何故か警告したほうが捕まった感じ

>>15
ACCSとはちょっと違うけどな
あれは黙って報告すればよかったのにわざわざ公開したのが問題

で結局その脆弱性は直したのかどうなのか

ソニーのps3のファームウェアハックの件でも
報告した奴を犯罪者扱いしてたよな

日本企業ってどうしてこんな対応しちゃうんだろう
仮にも大手の会社なのに

記事にされて赤っ恥かいてる会社があるらしいな

>>17
ソース嫁
逮捕はされていないよ

善意の第三者気取るからだ。
合鍵作れんなら鍵屋か泥棒なれ、ド阿呆。

海外のクラッカーにボコボコにされりゃいい

これはプロバイダも叩くべき

日本の場合ひろみちゅみたいに国内での地位がないと
報告しても悪者扱いされるネット土人国家だからな

さすがブラック　ベネッセ

金を払うから不具合見つけろっていう企業がいる中でこれか

まあ肩持つわけではないがベネッセさんはちょっとアレな企業だという定評があるな

包丁理論は正しいけど、不正アクセスの問題の議論で不法侵入と一緒にして考えてるやつってアホだろｗ

不法侵入は市民の身体、生命、財産を脅かし不安を与える決して容認できない犯罪行為なのに対して
不正アクセスは単なるパケットのやりとりでしかなく
それに伴う財産喪失や情報流出の主体も相手ではなく自分の管理するコンピュータが行なっているんだから
不法侵入より、家主の息子を騙って電話をかけて個人情報を引き出したり金を振り込ませる行為に近いのは確定的に明らか。

>>2
探知してここに盗聴器仕掛けられてますよならセーフだろ

クローラで蔵書情報集めるお→逮捕
クラックされる前に脆弱性見つけたお→プロバ停止

ジャアアアアアアアアアアアアアアップｗｗｗｗｗｗｗｗ

※>>1の補足

Masato Kinugawa氏は、Googleが実施している
脆弱性発見への報奨金制度で世界ランキング二位の日本人
ttp://www.google.com/about/appsecurity/hall-of-fame/

XSSは「攻撃者が細工したJavaScriptをユーザのブラウザ上で実行させる」脆弱性。
脆弱性の検証は、サーバから自分のブラウザに返ってくるデータに
<alert>テスト</alert>のようなタグを有効な形で混入できないか
サーバへのリクエストを工夫するという形で行うので
サーバのデータを破壊したりDoS攻撃になったりするということはない。

今回の件は、librahack事件のときのように
「本人に不正アクセスの意思があったかどうかを直接確認せずに
不正アクセスと決め付けてそのように処理されている」
のと違い
「本人が直接ベネッセと連絡を取って説明しているにもかかわらず
ベネッセ側は不正アクセスだと認識している」
という状況
（librahack事件も逮捕勾留後の警察の対応はまさにそうだったけど）

ベネッセこぇええええええええええええええええええええええ

プロバイダが糞すぎる

ベネッセがブラックすぎる

一方フェイスブックは

＞Facebookはこれで脆弱性の存在を確認して修正し、クマール氏に賞金1万2500ドルを贈呈した

http://www.itmedia.co.jp/news/articles/1309/03/news032.html

>>33に追加で
Kinugawa氏のブログは機械翻訳によって
世界中の技術者に読まれているそうです

今の不正アクセス禁止法って自称被害者優位の痴漢事案と同じようなもんなんでしょ

これはいかんでしょ
逆に保護するべき立場なのに

ベネッセは詐欺　成績伸びなかった

頼んでもいないのに勝手にやるな

日本にこんな人がおったんか…

イメージってこういう所から悪くなってくるんだよな

ヘイヘイジャップ！

>>2
お前は世界中に部屋を公開しとるんか？

>>19
天下のベネッセ様が直してないわけないだろ！
下請けに丸投げだろうけど

ハッカーとクラッカーが区別できない民族だな
特亜でもクラッカーハッカー対策は30年前からやってるのに未だに対策は出ててないわ
養成もできてないわ
セキュリティ意識がザルだから機密を漏らしまくっても平気だし
原発もあんなにいい加減なんだよ
どこかの軍事生産関係の会社は世界中のウィルスを飼うのが趣味で情報を
漏らすのが好きな会社あるもんな
ボーナスステージ過ぎるｗｗｗｗ

>>11
すげーな

>>18
いやそれは裁判官の勝手な線引きだろ。

問題なのは不正アクセスしたことのみであって
面白い研究成果を得たのが学者なら学会で公開するし、
ブロガーならブログで公開するし、マスコミなら報道するし、
脆弱性ハンターなら既知の脆弱性になる前に直接報告するだろうってだけの話なのに
いちいち難癖付けた意味がわからん。

不正アクセス自体が犯罪行為で許可なく検証することも犯罪なので
脆弱性のあるサイトを積極的に探知し改善を促すことで
事前にサイト書き換え→ウィルスばらまき
の被害を防ぐことは国内ではできませんってちゃんと
解説するのが法律家の仕事のはずなのに

不正アクセスとは本来アクセスできない所にアクセスした者を処罰する法律であって、
全世界に公開され誰でもアクセスできるURLを報告したら不正アクセスとか馬鹿なんじゃないの

理系「これおかしいぞ」

文系「よくわかんないしむかつくからおまえ死刑」

中世ジャップランドだから仕方ないな

臭いものにはフタをする
中身がブチまけられて初めて事の重大さに気づく
これが中世だ

世間と常識が違う理系の世界

ベネッセはクズ企業だったか

こんなんだからお漏らしばっかすんだよ

人の家に鍵が開いてるからって勝手に入っちゃいかんでしょ

あれっ、>>33にあげたサンプルなんかおかしいな
htmlタグとJavaScriptがごっちゃになっちゃった

webサービスにこの脆弱性があると、たとえばおかしなURLリンクを作って
それをtwitterやブログでユーザに踏ませることで
ユーザのwebブラウザが秘密の登録情報を勝手に外部へ送信！
みたいなことができる

>>58
自分が借りた家の鍵が壊れてたら文句言うだろ

臭いものに蓋しても腐敗は止められないのをいい加減学べよな
学習能力が欠落した民族だな

こういう人がいればIPAなんかいらないのに

ベネッセ逆ギレか

>>50
なんだ日本のwebは危険なので利用しちゃいけなかったのか
脆弱性の検証できなきゃずっと危険なままじゃん
法律つくってるやつ馬鹿だな

>>58
お前XSSの報告を全然分かってないな
問題の本質が分かってない
この人は侵入なんてしてないんだよ
不正アクセスでもなんでもない

意味わからんな
穴を教えてくれる善良ハッカーなんて金払って雇うレベルだろ

何故この手のスレは的外れの現実例えをするバカだらけになるのか

中世って言いたくないけどこれは完全に中世

脆弱性探すためにいろいろやってる時点でアウト
ちょっといたずらが過ぎたね
大人がお仕置きしてあげないと

>>59
それのなにが問題なの？
ベネッセから情報がでるわけじゃないじゃん
それやられたらベネッセは被害者だろ

>>69
やるなら
事前に了承得るのが筋だわな

こいつは逮捕されて当然。

脆弱性探す事自体がアウトだからな
Googleは単にはっかーを敵に回したくないだけ
まあベネッセは世界中のクラッカーから攻撃受けるだろうがな

>>58
公開してるサイトなんだから、24時間営業の店みたいなもんだろ

鍵の例えも間違ってて、
来てくれた人の情報を第三者が勝手に見れてしまう問題を指摘したら、なぜか指摘した人が入店拒否されたような状態

>>72
脆弱性を探すのが具体的に何の法律に違反するか教えてくれｗｗｗ

ベネッセもおかしいがISPがもっとおかしいだろ
ベネッセは無知で片付けられるが、ISPは事情を理解もせずに契約者のサービスを停止させたあげく誓約書取ろうってんだから

76 ：天野：2013/09/12(木) 11:45:33.88 ID:SfPsW2iF0

GoogleやFacebookのホワイトハット報奨制度に慣れていると生で報告するのに抵抗がなくなるけど
世の中そんな企業ばかりでないよというお話

話は変わるけど利用停止処置をしたプロバイダーはクソなので名前を公表すべき

美しい中世国家ニッポンでは馬鹿文系様の機嫌を損ねたら魔女狩りに遭うから気をつけなさい

感謝されて謝礼が来ると思ったら、プロバイダに通報されたでござる

>>38
ベネッセは世界中に恥を晒しちゃったのか
プロバイダは名前を出されなかっただけまだ恥を掻かず助かったな

>>70
ごめん質問の意味がよくわからない

webサービスにXSS脆弱性があると
ユーザがサービスに登録してる住所氏名とかクレカ番号とかパスワードとかが
盗み取られる危険性がある

ブログの記事やデザインを勝手に変更されたり
掲示板やチャットに自分名義でメッセージを投稿されてしまう危険性がある

ということなんだけど

さ

こういうのと仕事してえ
出来高歩合でうち来てくんねえかな

ベネッセは世界中のセキュリティ研究者を敵に回したな
どうなっても知らねｗ

いやこれはおかしいだろ
訪問セールスと同じだぞ
勝手にサービスしておいてあとから金を請求って
契約がなされてないからこの場合
ベネッセが正しい

xssってググってみたら掲示板cgi制作の基本中の基本みたいな話でワラタｗ

要はタグ>がちゃんと別の文字に変換されてないですよー
って教えてあげたら

うっわーーーーーー！！！！！！！！！ハッカーに不正アクセスさメールで脅された！！！！早く警察とプロバイダに通報しないと！！！！！！！！！！！

って対応されちゃったってことなのねｗ

そうかそうか
なるほどね

穴放置した担当者の責任問題になるから
人柱にされたのか（笑）

日本人でも凄腕のハッカーいたんだな、しかも2位とか

アメリカ人だとチョコバーだけど、日本人だと羊羹か？

>>84
お金請求してないよ？

XSS対策ていうか厳密なテストはすげー工数かかるからな
例えばメールアドレスを入力するフォームに
エスケープされてるか確認するために意図的にメールアドレスではあり得ないような文字入力を試行したら普通に攻撃だからな
ベネッセが依頼してるなセーフだが
本番サーバーにそんな風に何度も試行されたらたまったもんじゃない
こういうでしゃばりは逮捕でオッケー

XSS対策って簡単なようで実は難しかったりする

>>84
ベネッセにセキュリティーホールを教えたら逆切れされて、嫌がらせされたって話でしょ。

>>88
基本はエスケープ忘れを探すだけですごくもなんともない

>>90
だから何の法律に違反するのかってｗｗｗ
メールアドレスを入力してくださいというのはあくまでも企業のお願いであって契約でも何でもないわけ
HTMLじゃただのテキスト入力フォームにすぎないわけで、これが攻撃ってお前頭おかしいんじゃね？

>>90 >>91
テンプレートエンジンだか、フレームワークなんかを使えば
自動で全部やってくれるとかって話じゃないのかね。
やっぱ穴があるの?

>>92
だから不正アクセスになるんだから
事前になんで了承とらなかったの？
ベネッセがたのんだわけじゃないよ。

>>90
エラーログ吐いて終わりでしょｗ

ほんとうに変なメアド入力されて困るならこの人は他の案件でISPから警告くらいまくってるはずなのに
何故か脆弱性があったベネッセのときだけ警告くらってるって時点で
ノーガード露出狂の逆切れと判断できるｗ

評判悪いもんな。関わるとロクなことない。

>>96
不正アクセスって、アラートを出すだけでしょ?

>>2
これ全く的外れだよねえ
住宅は公開してないもの

>>97
了承とればいいはなし。

自分勝手な都合だけで騒いでる痛いハッカーはまず社会常識を勉強しなさい。

>>96
不正アクセスにならないよ
不正アクセスは認証を突破し、本来できない機能を動作させる事
XSS攻撃の報告に使われるalertは認証の突破も本来できない機能を動作させる事もしない

ブラック企業大賞2013【教育的指導賞】受賞企業だったか
納得

これからテストしますので
よろしいでしょうか？
と
対象企業に事前に了承とりなさい
子供じゃないんだから。

>>104
何で合法な事をするのに了承が必要なの？
お前は外に外出する時国土交通省の通行の了承もらってるのか？ｗｗｗｗ

XSS脆弱性が存在するかどうかを確かめる方法として
なんか不正アクセス禁止法だって言ってる人がいるけど
「アラートダイアログを出すこと」を目的にHTMLタグをフォーム入力してるんだから
不正アクセス禁止法違反には当たらないよ

ぶっちゃけ余計なお世話なんだよ
盗聴バスターズなんかで「お宅に盗聴器仕掛けられてますよ」とか来る連中に似てる
頼んで発見して貰うならともかく、頼んでもないのに勝手に発見して来られるようなもん
まあこいつらからすれば知らないから可哀想とかくだらん善意で言ってるんだろうけどｗ

>>106
しかも大抵のXSSはフォームの入力じゃなくてURLの書き換えを行う
世界に一般公開されてるURLをメールで教える
これが不正アクセスって笑っちゃうよね

>>106の訂正

なんか不正アクセス禁止法だって言ってる人がいるけど
XSS脆弱性が存在するかどうかを確かめる方法として
「アラートダイアログを出すこと」を目的にHTMLタグをフォーム入力してるんだから
不正アクセス禁止法違反には当たらないよ

>>107
XSSはベネッセが被害受けるわけじゃなくて、踏み台にされて他のサイトが被害にあうからな。

>>107
個人宅なら迷惑だけど、企業だからなぁ
個人情報を扱ってる以上、セキュリティには敏感になるべきだと思うけど

普通なら気付かないような、プロの空き巣が狙いを定める時にチェックするポイントを
「このままだと危ないですよ」と防犯に詳しい人が、小さな親切心から
家の住人に教えてあげたら、「この人痴漢です」と警察に突き出された感じ？

マジかよ
ベネッセ最低だな

Facebookも脆弱性報告したら
技術者にそれは脆弱性じゃないと一蹴されその脆弱性使ってCEOのFacebookページにカキコして報告というのがあったな
結局賞金はもらえたのだろうか

いやこれは完全に不正アクセスだよ。
よかったなベネッセが寛容で。普通なら刑事告訴するよ

>>107
世間一般の企業は脆弱性の報告は迷惑じゃなくてありがたい事なんだよ
だから大企業は膨大な金をかけて脆弱性を探したり、攻撃を依頼してる
余計なお世話というのはその企業のただのわがままであってサービスを利用している利用者にとっては
むしろ脆弱性がある事のほうが迷惑なの
個人宅と世界に公開されてるWEBサービスを一緒に考えちゃってる時点で頭が弱いよね

>>115
このまえヤフーも同じ指摘を受けてたけど、ふつーに修正して終わりだったよ。

私にも苦い経験があります。後輩の女性社員に「(谷間ではなく先っちょまで胸が見えてることが多いから気をつけたほうがいいよ」と
指摘したらセクハラ扱いされて女性社員が上司に報告、始末書を書かされました。善意の報告者だったにもかかわらず、です。

同人の騒ぎの時もそうだったけど、この会社の外との空気感の違いは異常だわ。
こういう会社が子供の教育に関わってるかと思うとびっくりする。

>>107
指摘された企業が「ありがたい」と思うか「余計なお世話だ」と思うかは
まったくその企業の勝手だけどさ
報告者とやり取りしてその意思を知っているはずなのに
この状況でプロバイダに回線停止させたり不正アクセス呼ばわりしてるのはおかしいよね
ユーザやエンジニアからどう見られてるか考えたりしないのかな、ベネッセって

>>112
今までは家の住人が理解があったが
今回は家の住人に怒られた

>>115
不正アクセス行為とは以下の行為である

1.電気通信回線（インターネット・LAN等）を通じて、アクセス制御機能を持つ電子計算機にアクセスし、
他人の識別符号（パスワード・生体認証など）を入力し、アクセス制御機能（認証機能）を作動させて、本来制限されている機能を利用可能な状態にする行為（1号）
2.電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、
アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為（2号）
3.電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、
識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為（3号）

どれに違反すんの？

他にもやってるだろうし
それは自分で書いてないだけで
ベネッセ側から見たら色々されたんだろうな

こういう被害者づらしたクレーマーは都合のいい部分しか書いてない場合が多い

ベネッセもそうだがISPの対応もひどいもんだな

家に例えてる奴は総じてバカ

実際こうしてトラブルになてるんだから
何いっても滑稽。

"事前に許可をとればいいはなし"

それをやらないでおいてなにいってんだって話。

社会にでたことないんだろうね。
あいさつは常識だよ

OAuth認証で、クエリ文字列につけたリダイレクトURLに常に飛ばすサイトがあるんだけど、これ指摘したほうがいいの？

こんなの不正アクセスに決まってんだろ
当人は相手の為にやってるとか思ってそうだけどガキの言い訳レベルだな

ベネッセがアホなのは当然として
プロバイダもアホだな

真剣ゼミのDMって個人情報をどこから集めてるの？

社員入口の警備がザルだよって教えてあげたようなもんだな

bM6D6WBB0

アフィカスだろこいつ

俺もまえに個人情報が丸見えになっている企業に電話しておしえてやったことがあるけど
担当者がえらい高圧的だったな。
途中で教えるのやめて電話きってやればよかったわ。

世界の常識はジャップの非常識なんや・・・残念ながらね

>>2
これくらい頭が悪い方が世の中幸せになれるのかもしれない

>>126
今回トラブルになったのは初めてなんだよ？
どっちが頭悪い事やってるかは明確だよね

>>128
不正アクセスじゃありません

脆弱性見つけて怒られるのも馬鹿馬鹿しいし
放置しとくかIPAとかに投げろって話なんだろうな

>>127
認証エンドポイントへの初期アクセスは普通はそうやるはずだが
もっと詳しく

いつかはトラブルになることなんて小学生でも予想できますよ普通の頭があれば。

自分の怠慢棚にあげるな。
反省しないさい。

ヤクザ相手に商売する方がマシだな

報告したら終わりにすればいいのに、その後もチェックし続けていたんでしょ？

>>139
お前本当に頭悪いなｗｗｗｗ
あいさつは基本？
脆弱性があったら報告するのが基本なんだよ
だからIPAという経済産業省所管の独立行政法人があるんだよ
いわば国が脆弱性があったら報告しましょうって言ってるわけ
脆弱性を報告する事はあいさつと同じ基本的な事なんだよ

143 ：イシカク：2013/09/12(木) 12:25:41.82 ID:WdZJenfIP

ベネッセのセキュリティ意識がどんなものか窺い知れる。
ここは利用せん。もともと利用しねーけど。

中世ですなあ
さすが日本

今後は許可をとるようにしなさい。
いい社会勉強になってよかったな
許可とるのが常識だよ。

>>117
yahooの件はこれか
http://www.itmedia.co.jp/news/articles/1307/22/news112.html

やってる行為は>>2と同じだわ
プロバイダーの対応も妥当

＞これからテストしますので
＞よろしいでしょうか？

この企業はは対応が子供なので、威力業務妨害とみなして通報するでしょうな

自演し始めた？

>>129
プロバイダは面倒毎に巻き込まれたくないだけ
ベネッセ側の文書だけ読んで判断したせいで対応がおかしくなってるんだよ
ただ、刑事告訴されたらパチンコップが意味を理解できないまま有罪になりかねない案件
ブログにコメントされた犯罪予告に対して「ブログなんて怪しいことやってるお前が悪い」と言って拘置する無能だし

インターネットだからって
特別だと思ってるんだろうなあ

インターネットもリアルですよ。

そこには人がいます
ちゃんと許可をとりなさい。

>>130
おかしいよね
何で俺らの名前と学年知ってんだろうね
不正アクセスかな

>>145
脆弱性のないWEBサービスを作るのが常識だからね
イレギュラーを起こしたのは自分なんだから自分のミスは自分で拭く
これが社会の常識なんじゃないですかねぇ？

ベネッセは利用しない方がいいとしかならないわな
なんせ個人情報を預けてもその漏れ対策をしない、させない企業だと露呈した

>>147
お前んちの鍵か全開でもだれも気にしないけど銀行の金庫の鍵が空いてる状態なんだが？

>>100
公開してなくても
勝手にポスティングされますが何か？
読売新聞の集金配達は、ベル鳴らして出なければ勝手にドアガチャガチャしましたが。
どこか解らない外装塗装工事の営業も同じような事をしましたが何か？

しかし指摘を受けて問題修正しておいてそのお返しにISP通報ってのはひどいな
セキュリティ担当はどんな無能なんだろう

創価創価

鍵が壊れててDQNの溜まり場になるかもしれないから通報してあげただけだろ

>>156
だからなんだよｗ

許可を取ればいいだけの話
今後は許可を取りなさい。

>>156
に追加で、
国勢調査の調査員（ゴミ）も勝手にドアガチャガチャしましたが何か？

Googleのクローラーは許される謎

じゃああああああああああああああああああああああああああああああああああああああああああああああああああ

前科者かよ。そりゃ止めるわアホか

バッグや上着に巻き込まれてスカートめくれ上がってる人に
パンツ見えてるよと教えたら
痴漢扱いされた的な？

しまじろう最低だな

>>138
OAuth認証って普通はクライアントIDとクライアント鍵とコールバック先を相手に登録させるんじゃないの？

んだが、事前登録したコールバック先とドメインすら一致してないURLをクエリ文字列として渡したら、そこにコールバックするサイトがあるんだよなぁ。

ベネッセ最低だな

>>166
パンツめくって
パンツ見えましたよ

が正解

パンツ見てもよろしいでしょうかと聞くのが社会人の常識だよ。

日本の大企業様は情報流出やらかしても被害者面して逃げればいいだけだから

ID:bM6D6WBB0
完全に論破されて頭がおかしくなった例
国が脆弱性見つけたら報告しろって言ってるのに許可を取れとか馬鹿じゃねーの
常識常識ってまず脆弱性が無いサービスを作るのが常識だから

ハッキングとクラッキングの違いがわからない人が多いし
これからもこういうこと、最悪誤認逮捕とかありそう

>>146
これがちゃんとした対応だよな

ちょっと論点を戻そうぜ

要は何でコイツがproviderを「プロバイダ」と表記してるかだろ？
パソコンに詳しい奴はいつもそうだ、なんで最後の長音を省くの！

メモリはメモリー（memory）でしょ！
スキャナはスキャナー（scanner）でしょ！
プリンタはプリンター（printer）でしょ！
コンピュータはコンピューター（computer）でしょ！

あと少しなんだから横着せずにちゃんと伸ばしなさいよ！
「朝はパンにバタ塗ってコーヒ飲んできた」とか言うのかこの野郎

自分の過失を棚に上げて善意を踏みにじってるかと。。

>>155
銀行の金庫の鍵が空いてるなんて奥まで入らないとわからなくね？
そこまでいったら捕まるでしょ

こんなんだからいつまでたっても企業として成長できず
株価が低調なんだろうな
最近出来高だけ異常だから何かあるんだろうが

わざわざ脆弱性報告してあげても感謝もされずにこんな仕打ちされる位なら、そのことをTor経由でどこかの掲示板に暴露でもした方がハッカーにとっては面白いよな。

子育て支援アピールがウザいブラック企業

相手の気持ちも考えれない人間ってほんと困るよね
普段からジャイアンなんだろうな

迷惑になると想像すらせず
自分は正しいことをやってると思い込み

結果はISP停止
まあ自分勝手な人間は社会が許さなかった
いい例だね

今後は許可をとるように。
次は逮捕されてもおかしくないよ。

XSSってなにそれこわいな奴がベネッセの担当者だったんだろ

いくら変な例えだしても所詮例えにしかすぎないからな
現実は別

そもそも技術的に理解できないから変な例え出しちゃうんだろうけど

>>174
Win7からのフォルダーが未だに気持ち悪い

>>168
三月頃に問題になってたね

>>11
わりとすごい人なのか

日本って何なの？阿呆の国なの？

企業には顧客情報を守るという社会的責任がある
リスクを指摘されて逆ギレするなど企業風土に問題があると考えざるを得ないな

>>178
そいうことされてもおかしくない
からISPに通報したんでしょ

善意か悪意かベネッセ側からみたらわからない

正しいと思ってるのはこいつだけ。
そんなのじゃ周りに伝わりませんよ

>>180
解決の方向に行ってるようですよ？
ベネッセですら自分たちが悪いって認めようとしてるんだけどｗｗｗ
結局間違った馬鹿な事やってるのはお前だけだよ

情弱を食い物にするのが表になりつつある風潮

Facebookでバグ報告したらお金あげるよ！ってのがあって

ハッカー「脆弱性あるよ」
担当者　「何訳分かんない。詳しく」
ハッカー「だからね、ここがこうで・・(メールを何回もやりとり)」
担当者　「それは仕様だ。バグではない」
　　　　　
ハッカーおこ。社長の垢ハックして、社長の垢で投稿

担当者　「バグが有ったのは認めるが、正規の方法で報告してないので賞金は渡せない」

こんなクズな事例がアメリカでもあった

日本の警察に技術力ないのなんて周知だろ
悪意のハッカーまず捕まらないよ
そんな中で敵を増やすなんてイミフ
風通し悪そう

googleって脆弱性見つけて報告すると賞金もらえるよね　たしか

>>174
なんかクールだから

海外の企業はわざわざセキュリティを抜き打ちテストする会社に依頼するのだが
日本企業にはそういったところが欠落してるからこんな対応になってしまう

>>178
まぁ方向性はそうなるだろな
良いハッカーは脆弱性を発見してもベネッセには教えないまま放置だし
悪いハッカーが脆弱性を見つけたらベネッセには教えず晒して回る

これがベネッセの選択した未来だろ

>>2
ワロタ

>>192
それはgoogleが受付てるからだよ。

ベネッセからしたら
ハッキングあったとしか思わないのは当然

事前に許可も取れない人間に信用なんてない。

>>192
そう
だからこの人Googleから５０万もらってる
Googleの脆弱性を報告した人のランキングで２位だよ

Torってもうアメリカとイギリスにだだ漏れだから日本でやっても面白くないぞ
でも不思議だよな、ちょうどだだ漏れNewsの数ヶ月前に警察と鬼ごっこしたキモオタおったよな
日本もハッカーに協力を求めて実践形式で社会実験したんかな？

bM6D6WBB0はスレを伸ばすことだけが目的のアフィカス

この程度のスパイ天国だから、これからも日本は凋落していくだろうな

下手にハッカー激おこしたら
裸で土下座しても許してくれるかどうか判らんだろ
ベネッセ強気すぎワロタ

チャック開いてるよって言われて逆ギレするくっそ情けない企業

>>197
不正アクセス行為とは以下の行為である

1.電気通信回線（インターネット・LAN等）を通じて、アクセス制御機能を持つ電子計算機にアクセスし、
他人の識別符号（パスワード・生体認証など）を入力し、アクセス制御機能（認証機能）を作動させて、本来制限されている機能を利用可能な状態にする行為（1号）
2.電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、
アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為（2号）
3.電気通信回線を通じて、アクセス制御機能を持つ他の電子計算機により制限されている電子計算機にアクセスし、
識別符号以外の情報や指令を入力し、アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為（3号）

どれに違反すんの？

>>3
大勝利！
http://content.tmbox.net/img/sound/image/317034/______02.jpg/400x400xcrop.jpg

どうやら報告した後
「今から直すから待って」というのも聞かずにアタックを続け
ベネッセ側が新しく施したセキュリティの網に引っかかっちゃったみたいだな

善意の押し付けってほんと迷惑だよ
正義のヒーロー気取りたいのかしらないが

子供じゃないんだから事前に許可をとりなさい。

>>180
Googleはジャイアンから殴られてありがとうと言って喜んで金を差し出すオカシイ会社なのか？？

＞許可を取りなさい

おこちゃま企業には会話が通じない
だから報告者に確認のアクセスもとらず、一方的に通報した訳だよ

中の人が火消ししてるが無駄だよ

>>187
悪意があったら直接報告しねーだろ

これは店に買い物にいったら顧客リストが誰でも見れるとこに放り出してたから
店員にこんなとこに置いてたら危ないよと指摘したら警察呼ばれたようなもんだろ

>>67
そういう人種が多いからこそ>>1みたいなことになったんだろうな

不正なクエリはログに残るわけだから
完全に業務妨害だよ

セキュリティ担当は一応調べるわｋで
その動いた分の被害は発生してる

ベネッセが慣用だから許してもらっただけで
１００％不正アクセスしたほうが民事で負けるよ

これが日本の教育機関やで
明るい未来が待ってんで～

xssって<とか書いてみたり、jpgにhtmlとかjavaのコード書いてアップしたりして、
反応みるの？

こんな糞サイトを作る時点で会社のレベルが低いことだけは客観的な事実だからな

>>211
これは店に買い物にいったら顧客リストが誰でも見れるとこに放り出してたから
店員にこんなとこに置いてたら危ないよと指摘した
なので店は鍵かけて奥にしまって侵入者用のトラップ張ったら
まんまと引っかかった人がいたのでそのまま警察につきだしたら
中に最初に指摘してくれた人が入ってた

こんな感じ

ベネッセって小学校卒業くらいの時に電話で名簿の住所録聞かれて子供ながらに胡散臭い会社だと思ったわwww

これはもう、信心で不正アクセスを看破する南無妙セキュリティを開発するしかないな

まあそれ>>213が想像できないから
許可も取らずにこんなヒーローごっこ平気でできるんだろうな

なんだろうねやっぱ社会経験がないか少ないかだろうね
こういう行動になるのは

今後は許可をとりなさい。

許可しか言えないのか(呆れ)

ベネッセの工作員が多いスレでつね

>>2
バカな>>2を晒しあげるスレか

役にたつ杭であっても出る杭は打たれるということですな

>>220
インターネット上がセキュリティ甘々のサイトだらけになってしまいますよ～。。。？

>>5
一般個人からいきなり連絡されたところで、
その一般個人が善意の個人か悪意の個人かは分からない。
したがって、通報された側としてプロバイダに通報しシャットダウンさせるのは大正解。
脆弱性を通報する側としては、相手に直接にではなく
JPCERTやIPAのような公的な窓口を通して間接的に通報するのが大正解。

で、どのサイトだったの

ｘ慣用
○寛容

日本語もまともに使えないおこちゃまがログ解析なんてできないでしょ

>>2
ポートスキャンなども同様の行為だね
我こそは絶対的な大正義である、私の指摘に従うのが当然だ、
という傲慢さのもとに行動するキチガイが >>1 の例

電子計算機損壊等業務妨害罪で逮捕も可能かもね
ベネッセが慣用でたすかったなこの子供

中世日本だから穴を見つけたやつは逮捕されるぞ

敵意ない人を通報したり訴えたりすると解決した感じになるんだろうな、、、、

>>207
善意の押し付けで思い出したけど
羽田のセキュリティー指摘して無視されて
ハイジャックした奴みたいなもんだろ

対応次第で味方につけるか敵に回すかの話
バカと鋏は使えばいいんよ

これ海外でも似たようなのあったよな
自分の大学に報告したら辞めさせられたやつ

>>15 >>18
ASKACCSの場合は、指摘してあげたのに放置されたから
ぶっこ抜いた情報を仲間内の集会で披露して悦に入っていたら
その集会の会場に警察がいて速攻で逮捕された、というオチｗｗｗ
善を偽装した悪のハッカーそのもの

>>33
librahack事件の場合は、図書館の新着入荷図書を
他人を出し抜いておれさまが真っ先に借り出したいというエゴ丸出しなので
ああいうのは逮捕されて当たり前

> 本人に不正アクセスの意思があったかどうかを直接確認せずに
アホか。
殺すつもりではなかったので殺人ではありません、で通るなら
警察も検察も要らんわボケ。

まあ企業名は出すべきじゃなかったかもな
世界中のクラッカーに餌を与えたようなものだから

日本は本当遅れてるな
海外じゃこういうの報奨金出てる位なのに

街中にスカートのファスナーが開いててパンツ丸見えそうな女がいて「ファスナー開いてます。パンツ見えそうですよ。」って教えてあげたら、痴漢として通報されたって感じ？

セキュリティのコミュニティあるなら
事前に連絡するようにマナーを決めるとかすればいいのに
ほんとガキの集まりなんだろうなこういうことする人間たちって。

　

>>50
裁判所裁判官の勝手な難癖などではないわな
犯行の手口をひけらかし、しかも盗み取ったものまで堂々と公開した
そんなものは処罰されて当然のことだ

> 脆弱性のあるサイトを積極的に探知し改善を促すことで
> 事前にサイト書き換え→ウィルスばらまき
> の被害を防ぐことは国内ではできませんってちゃんと
> 解説するのが法律家の仕事
馬鹿だな。脆弱性のあるサイトに直接に話することでしか
目的は実現できないのか？
別の他者を通じて間接的に改善を促すことだってできるだろう
法律家の仕事がどうこうなどとご高説をお垂れになる前に、
ID:HzBhzNw10 自身の思考と行動とをどうにかすべきだわな

セキリティホール見つけたら徹底的にやれってことだな

>>238
スレみてるとどうやら被害も出るらしいから
その女はブスでしかもファスナーの間から異臭撒き散らしてるレベルなんじゃないか

プロバイダがゴミなんだよ、どのプロバイダか公表して欲しい、
双方の言い分を聞かずに、被害を申し出た側の言うことだけを聞いてネット止めるなんて一方的過ぎる。

ジャップｗｗｗ
良い行いをする人を悪者扱いする糞国家だはｗｗｗ
拡散しろｗｗｗ

>>239
だったら会社側が連絡窓口決めたらええやん。。。

>>75
世の中にはいろんなプロバイダがあるわけで、
どういう対応をするかはプロバイダの判断の自由だな
納得できないなら、利用者がプロバイダに対して説明すればいいのではないかな

連絡窓口がない企業なんてないんだが。

いくらでもメールなりフォームで連絡とれますよっと

あと
事前に連絡もできないようじゃ
報告したときに
氏名とか書いてなかったんじゃないかな
社会常識の欠落がISP通報までいったと想像してしまうね

>>240
長文垂れ流しながら他人の言をご高説と貶めるのはどうなのよ

脆弱性って不正アクセスをしないと見つけられないものなの？
良くは知らないけど単にサイトのソース見てなにこれえってなっただけじゃないの？

>>76
ホワイトハット報奨制度にしたって、これまでの実績として善意ではあろうが
そいつが将来に渡って善意のハッカーとして行動することを保障するのではないしね

# ニュース > 製品・サービス Facebookの脆弱性をザッカーバーグ氏のページで報告した専門家、規約違反で報奨金なし 2013/08/19 14:21
# ttp://japan.cnet.com/news/service/35036100/

こういう事態を避けるためのIPAでありJPCERTだと思うんだけど
なんでこの人はいきなり事業会社に直連絡したのか
セキュリティに詳しければOffice事件を知らないわけはないから
炎上させたいという意思があったとしか思えないんだよなあ

>>124
不正アクセスされたって言われたら止めるしか無いだろ

完全に中世
意味わからなくて怖いから魔女狩りってのと同じだな

>>247
連絡窓口はあっても通報窓口はないですねぇ。。。

>>90
そうそう
サーバーに無駄な負荷を掛けられまくっているのは明らかで
この点、 Deny されても文句は言えない

ベネッセ側からしたら電子計算機損壊等業務妨害罪だからね
よかったな逮捕されてなくて。

>>94
>>96 の言うことに尽きる。余計なお世話、お節介。

>>97
さあてそれはどうだか。
単純に、こいつがプロバイダを止められた腹いせに逆ギレしているだけだろ。

>>256
平和な仕事するための法律が危険を知らせに来た無害な人に適応させるなんておかしな話ですねぇ。。。。。

>>251
同感
少なくとも、こいつに一切の不備がないなんて到底言えない

ベネッセ側も「報告してきたやつを通報した」んじゃなくて
「変なアクセスしてきたやつを通報した」んだろ？
蓋開けてみたら両者が同一人物だったってだけで

>>96
多分今回ベネッセがしたようなことを
これまでKinugawa氏が脆弱性あるよって教えてあげたサイトは礼は述べてもしなかったんじゃないかな
だから今回みたいな脆弱性持ち側がKinugawa氏の使ってるＩＳＰに訴えるなんて行動とるなんて
想像もできなかったんだと思う

>>101
こいつらは社会常識なんて勉強する気はまるで無いよ。
インターネット原理主義、インターネット最優先・至上主義だから、
世の中の社会常識こそが無条件無前提に間違っている、という屁理屈のもとに
あちこちで暴れ回っているわけで。

久しぶりに嫌儲を覗いてみたけど
本当にお前らって馬鹿だな
はっきり言って救い様が無いぞお前ら
創作活動も仕事も何もできない
価値無しのニート共は氏ね

>>133
そりゃおまえの電話の態度がなっていない高圧的なものだったから
相手も高圧的な態度になってしまったんだろう
コミュ障にありがちなことだな

ちょっと前にも日本で似たような事あったよね
社長がTwitterで文句垂れてたけど警告してくれた人に謝罪したの？

必死な火消しが居るな

>>174
JIS規格を読んでからまたどうぞ

JIS Z 8301
　附属書G「文章の書き方、用字、用語、記述符号及び数字」
　　G6「用語及び外来語の表記」

教えてあげた側がやり方に問題があると言われるなら教えられた会社にはやり方に問題はなかったんじゃろうか。。。？？？

>>262
しばらく振りだろうが何だろうが
バカだアホだと他人を罵る権利などない
たかが２ちゃんで吠え面かいたところでムダ
もうお前も同じ穴のムジナだと理解しろよ
創作活動だけが仕事ではないし
価値がないのはお前も同じだ

ベネッセ擁護のご高説ごもっともよ
ここでそんなこと言ったって大抵の人は判ってる
だいたいみんな常識人ならセキュリティー自体いらんわ

ところが非常識な奴はある一定数いるわけで
完全な悪意を持ってない人を取り込んだ方が
セキュリティー上有利だとおもうがな

>>263
は
は
は

恥ずかしい
これで教育関係の企業なんだぜ

>>190
それは、社長の垢をハックした時点で不正アクセスだね
ASKACCSと同じで、善意のハッカーが逆ギレして一気に悪意のハッカーに転じた事例
クズなのはハッカーの側

>>20
日本人でそれやるやつって上から目線のヤレヤレ調だからだろ

順序を踏めば誰も困らないしどちらも気持ちよく終われるわけで
今後は事前に許可るで終了でしょう。

あとはこいつが反省して事前に許可を取る話を同じように広めればいい。

>>195
ほらね、こいつらの頭には
JPCERTやIPAを活用し経由させて自分の脆弱性通報に公的な信憑性をまとわせる
なんて思考は欠片も存在しない、社会的非常識さに満ち満ちている
おれさまの言うことをベネッセは直接に聞いて土下座し感謝せよべし、
さもなくば酷い目に遭わせてやる、という両極端なのが ID:BeLXijgw0 の脊髄反射単細胞思考

法律を使うのは大体会社側だけの都合なんだよな、、んで自社が"ハッカー"より偉いと思ってるんじゃないかと。。。

でないと懐柔策をとってる側を攻撃なんかしないと思うんじゃがなぁ。。。

アフィカスと/.民のタッグによる熱いベネッセ擁護が見られるのはこのスレだけ

宗教団体とかキチガイは都合が悪ければすぐ被害者面して逃げる
山本太郎とか見てれば理解できるだろ

>>248
長文か短文かばかりをどうこう言っても
それはIDをあげつらったり人格攻撃するのと同じで無意味だわな
投稿内容の本質を見ないとね

>>273
事前通告して拒否されなければどちらも気持ちよく終われるけど実際事前通告したら気持ちよく終われるんですかねぇ。。。。。。。？？

他人の敷地でゴミ拾いのボランティアやりゃ捕まるわ

>>280
それでGoogleは金くれてAppleは入社させてくれるぞ

>>251
炎上というよりも、ベネッセに対する新手の総会屋・ゆすりたかり
みたいなもんだろ。企業ストーカーやモンスタークレーマーと言ってもかまわない。

Office事件を知らないのではなく、むしろ知っていながら
それでもOfficeは正しいことをした人間であり処罰されるいわれなどまるでない
という歪んだ思考にとらわれた人物であるのかもしれない。

>>259
なるほど確かに、ハッカー側として
複数プロバイダの複数回線を用意して臨んだ可能性はあるだろうし。
たとえばベネッセへのXSS脆弱性通報にWebメールでも使って
メールの詳細ヘッダーにXSS脆弱性通報者のクライアントホスト・リモートホストが出なければ
XSS脆弱性通報者のIPアドレスも分からないままに、
ベネッセとして自身へのアタックが繰り返されたプロバイダへ通報してシャットダウンさせても
何もおかしくはない。

>>281
へえ、変わり者だね！それで？

>>272
そうそう
無知な奴を啓蒙してやったのだぞと威張るか、あるいは
親切にも教えてやったのだから何らかの謝礼や見返りがあって当然だと考えるか

>>2
意外にいい例えだと思います

やるならそういう仕事としてやりなさい

>>174
JISZ8301によると↓らしい

長音は,原則として長音符号｢ー｣を用いて書く。
注3 英語の語末の‐ｅｒ,‐ｏｒ,‐ａｒなどに当たるものは,
原則としてア列の長音とし長音符号「ー」を用いて書き表す。
ただし,慣用に応じて「ー」を省くことができる。

　 a) その言葉が3音以上の場合には，語尾に長音符号を付けない。
　　　　　　例　　エレベータ（elevator）
　 b) その言葉が2音以下の場合には，語尾に長音符号を付ける。
　　　　　　例　　カー（car），カバー（cover）
　 c) 複合の語は，それぞれの成分語について，上記 a)又は b)を適用する。
　　　　　　例　　モータカー（mortor car）
　 d) 上記 a)～c)による場合で，長音符号を書き表す音(例1)，
　　　はねる音(例2)，及びつまる音(例3)は，それぞれ1音と認め，
　　　よう(拗)音(例4)は1音と認めない。
　　　　　　例1　　テーパ（taper）　　　例2　　ダンパ（damper）
　　　　　　例3　　ニッパ（nipper）　　　例4　　シャワー（shower）

>>283
捕まらないどころか評価してくれるんですよ！セキュリティに一番うるさいはずなのに！！！

これがハリウッドなら今回の件で何も信じられなくなったこの男が世界を滅ぼすハッカーになってる

>>287
うんうん、極一部に変わり者がいるのはもう分かったから
それで？

>>262,>>268
ワルふざけも大概にしとけやお前ら
はたから見てて恥ずかしいわ
ハロワ行って職探して来た方が創作活動()なんかよりも
万倍有意義だって気付かないかね？
歳の割に幼稚なお前らの精神も少しは成長できるだろうし一度いってこいや

スーパーハッカーが突撃しろ

>>122 >>204
不正アクセス行為の本質は、
正当な権限者の意図する動作に反する動作をコンピュータにさせること、
正当な権限者の意図に反する動作をコンピュータにさせること。

企業が善意の個人なんていうもの信用するわけない

>>289
変わり者じゃないですよ～？セキュリティのことをベネッセの100倍以上考えているはずの会社が並んでこんなことをしてるんですよ？？まだわからないと？？

>>294
だから、それがどうしたの？

>>295
捕まえるというのが悪い解決策ということですよ

穴開きっ放しの所にお漏らしされて真っ先に実害被るのは一般市民
でもそういう奴ほど顔真っ赤にして執拗なまでに作法や関係者の人間性に拘るのは不思議というかなんというか

過程はどうあれ穴なんてもんは一分一秒でも早く塞がってくれた方が皆の利益に適う

>>2
赤くしてやんよ

>>296
うんうん
で、それが理由になると思っていると？

>>187
あんた、ベネッセの何なのさ。
このサイトを作った下っ端かなんか?

君のところのメールアドレスが2chで拡散されてるよとメールをしたら、
こいつがメールアドレスを不正に取得しましたと通報されたみたいな感じか？

>>300
ID:bM6D6WBB0はただの一社会人の意見でないの？

googleなら即入社レベル

>>299
そうですよ！まず法律云々の前に捕まえるというのは会社が決めることで捕まえないという方法も取れるんですよ！？だから懐柔策を取ってる相手に攻撃なんかしなくていいんですよ？？！

>>226 は、
「権威のない」一般個人はどんな正しい内容でも、
どんな役に立つことでも聞こえない耳の持ち主。

>>302
実社会の常識、物理的な制限がある世界の常識と、ネット上の常識はまた違うからなあ
こういうのは早さが勝負で、時間かけてたらクラッカーに見つかって穴の情報を拡散されるわけだから、
対象サイト管理者に直接メールするのは正しいと思う
ベネッセくらい大きかったらもうすでに情報抜かれてる可能性はあるけどね

脆弱性を見つけた本人を貶めても
ベネッセの評価は上がりませんよー

良くやる手だよね

知らせずに２ｃｈに晒せばいいのか？

李下に冠を正さずという言葉を知らないのかな

ベネッセって聞いたことあるなぁと思ったら、進研ゼミとかたまひよクラブの会社か

>>304
なるほど、他の手段も取れますよってわけね
でもそれ他の手段を敢えて取る理由の説明にはなって無いんじゃないかな

>>226
IPAにあるウイルスの報告したとき、次の日にはおおまかな解析結果が来た
たぶん事前に電話問い合わせした上での報告だったから速かったんだろう
XSSの場合はどうなんだろうな
ベネッセに報告がいって、ベネッセ側がそれを修正するのにトータルで何日かかるんだろうかな

これはベネッセが100%悪い
この主張を認めたら安全なネット接続がおびやかされる

>>311
なってますよ～？？悪い解決策"じゃないですからね～。。。。

報告しないで拡散してあげれば良かったんだね次からそうしよう(笑)
ってことになりかねないのになんでこんな対応したんだろ

相手がこの世界で名と実のある人だって知ってりゃこんな対応しなかっただろう

これがベネッセだからどうでもいい善悪論なんかぶってる暇あるんだろうけど
銀行やら尼やらいかがわしいサイトやらの脆弱性とかだったら余裕ぶっこいてられないだろお前ら

>>314
だから、その君の言うところの悪く無い解決策をあえて選ぶ理由が
企業、またそれに属する責任者にありますか、と
そういう意味で理由足りえて無いと思うよ

Yahooなら黙って金くれるレベル

>>318
え？そっから説明しないといけないの、、、？

、、じゃまずサイトのセキュリティホールがあったら何が起こるか知ってる、、、？？

つか、不正アクセスがあったって言うけど、ベネッセ担当者が対策を疎かにしてたバカ者って世間に
公表しただけだよね？
実際XSSのコード流すだけじゃ侵入にならんと思うんだけど。

>>263
おまえの願望でなんでそこまで断定できるんだ。
頭悪すぎだろ。

おれなんか超ネット弁慶だから直電のときとか、超下手だわ。

>>2
その通りだな

ベネッセは子供に変な名前をつけさせた元凶としても話題になってたよな
なんだかいろいろと怪しすぎる

夜露死苦ネーム流行らせたのはベネッセだった？

>>320
そこじゃなくてさ
どう対応したかで誰がどう責任取るのか変わっちゃうんだよ
もう分かるよね？

>>226
技術的に判断可能な脆弱性なら
通報者が個人かどうかは関係ないだろ

有能な奴はこの国から出ていけばいいと思うよ。

駅歩いてて、安全性に問題がある場所を指摘したら逮捕されるようなもんか

穴を教えてくれてありがとうございますだろ

XSS脆弱性はタグとか含んだクエリをサーバまで送信するからログが残るけど、
ログから悪い奴が攻撃の下調べをしてるか、善意でスキャンしているのかわからない。

ベネッセにアクセス制限された後にメール送ったらしいけど、
ベネッセは疑い深くて善意のスキャンだと信じられずにプロバイダに連絡したんじゃ。

>>329
駅を歩くだけなら問題は無いから違うかな
鯖への負荷なり調査で食ったリソースなり考えると電車のドア蹴って足跡つけて回ったくらいじゃない

ジャアアアアアアアアアアアアアアアアアアアアアップｗｗｗｗｗｗｗｗｗｗ

ベネッセは英語のオンラインテストやってるな
この結果あたりが漏れたら痛い人はいるかもな

>>326
、、、ベネッセの社員じゃなくてセキュリティの話ですよね？

>>327
この会社はそれを判断できる人間が情シスにもいなかったってことだろ。
あとは自己保身。

ポートスキャン、XSS、SQLインジェクションの試行は>>2みたいに思われて
自動検知されたり自動防御してくれるセキュリティ製品もあるんやろ？IPSとかIDSとか

遅くまで遊んでた子供に注意して不審者事案になるみたいに
間違われるようなことするのも中世ジャップじゃ怖いね

素敵なプロバイダだな
是非名前を公開して欲しい

アノニマス嫌儲支部が動く時が来たようだ

>>335
そこを切り離したら、理由の説明にならないんだ
君の言う悪くない手段は、外野の君だからこそ悪く無い手段なんだ
決断と責任がイコールで繋がってる人なら全然話は違ってくるんだ

これはマジで中世だわ

>>340
ええ、ええ、だからある意味ベネッセはダメだとぼくは言ってるんですね～。。。

>>332
非破壊検査しようとしてハンマーで叩いて回ったら通報されたような感じ

>>332
負荷なんて正常利用と変わらんのじゃ？
入力項目にコード入れたらそのまま登録されちゃいましたってことだし。

調査に時間食われたのは自業自得だわ。

未だにxssとcsrfがこんがらがる件、、

素人にはわかりづらいがベネッセはクズってつぶやいとけば良いのか

警察に通報した人が一番怪しまれるというような事と一緒でしょ
結局、通報しないか匿名でばれないように通報するしかない。

ベネッセなんてアクセスしてるんは知識もない主婦が多いんだから大いに報告して対策させるべき

>>2
店員はアスペのAA思い出した

>>342
うんうん、俺もベネッセの擁護はしてないよ
つまり良い解決策を振りかざすだけじゃ社会は付き合ってくれないってだけの話だね

中世ァァァァアップｗｗｗｗｗ

NGが捗るスレ

ベネッセの対応が早いのはWAFで感知したのか？

しかしXSSのアクセスで通報なんて意味が不明
ベネッセの場合はこんなURLにアクセスしただけでAUTO
example.com/?search&query=%22%3E%3Cscript%3Ealert("auto!");%3C%2Falert%3E

中世だな
これだから遅れてるって言われてるんだよ

ジャップランドすぎるだろ

ベネッセは以前から臭いと思ってたんだよな
絶対に許さないから

>>353
WAFがあったらここまで過剰反応しないと思うんだ。

>>350
あれれ？？？他人の敷地でゴミ拾いのボランティアがいいか悪いかの話じゃないんですか？？？？
出来る出来ないの話してましたっけ？？？

アノニマスに突撃されるパターン

これからベネッセの名前を見る度にキチガイ企業だって宣伝してやる

中世だなｗ

>>358
出来る出来ない？何の？

こういうことされたならtor板にでも晒して報復しチャイナよ

こういう対応する企業はトップから末端まで腐りきってる

こういう恩を仇で返す体質は朝鮮企業なんだろうな

これがIT後進国の実態

>>362
良い解決策を振りかざすだけじゃ社会は付き合ってくれないって話しましたっけ、、、？こちらレスした記憶がないんですが、、、、

ベネッセの内部事情がどうかしましたか？

もう中世日本企業はほっとけよ。

空港のセキュリティの穴を指摘したのに無視されたヤツが
その後、その手でハイジャックを実行したことがあったような？？

>>11
すげぇ
確か脆弱性報告するとあっちじゃ報奨金払うのが一般なんだっけ

>>11
ボランティア精神にあふれる立派な人じゃねえか

この人は逮捕されなかっただけましマシだよ
Office事件って知ってるか？]
日本のネットセキュリティが崩壊した原因になった事件だ
もうベネッセとは絶対に取引しちゃ駄目だからね

あるある
レイプ魔を撃沈してモテモテかと思いきや
この人からレイプされたんです！
お前が強姦したのか！正直に言え！みたいな

そいえばソニーも訴えてたな。。。。。。。。。

脆弱性をせっかく報告してくれたのに，それを仇で返すってのもすげーな

絶対忘れない

ベネッセ社員さんちーっす

キチ会社

>>284
じゃあ企業はボランティアで製品配れよ

ねこのきもちの購読を止めました
来月から猫びよりにするわ

XSSっていうのはサイトに任意のコードを埋め込むことができるから
ページにアクセスした人間のクッキーやらなんやらを悪意の第三者に盗み取られる恐れがある
いまどきXSS脆弱性とかSQLインジェクションとか基本中の基本の脆弱性ホットからしにしてるサイトが有るとはたまげたなあ

タダでセキュリティテストをやってくれている人だというのにこの対応

>>168
登録チェックはプロバイダ側でやるはずだが
スルーとか酷い実装だな

ちなみにYahooのYConnectも色々やべー

>>380
好きにしな
チンカスくん

社員さんキター！

キチガイ企業ベネッセが子供の教育に関与してるなんて許せない
今すぐボイコットすべきです

ダイエットリテラシー＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞科学リテラシー＞＞＞ITリテラシー

あきらかにウンコテレビが原因

中にはこの程度の馬鹿な企業もあるっていうのはは想定の範囲内だし
その馬鹿な企業が馬鹿な警察に通報したらかなり面倒になることを考えるとこの人は脇が甘い
プロバイダのこの行動は予想できない

だからといってベネッセの悪行が許されるわけではない

忘れないぞage

>>388
今回の件の許す許さないは馬鹿な行動を取ったことによって
セキュリティー意識が杜撰であることを世間に公表されたってことで手打ちでいいよ

まだまだ
まだ足りない
この10000倍くらいのボイコットキャンペーン繰り広げてちょうどいいくらい

>>114
自分がスルーしたこと棚に上げ逆ギレ
規則に則ってないと賞金は無しだったはず

実際にＸＳＳでデータをとったなら犯罪でいいと思う

少なくとも、XSSのテスト自体には不正アクセスの要素はない

国ってのは人民一人一人の常識が作り上げるんだよ

ジャップランドの現状を考えれば、民度が低いのは分かるだろうｗ

ジャップランド人のセキュリティの認識なんてこの程度だよ

あと、XSSに関しては被害を受けるサイトはベネッセだけじゃない
余計なお世話で済む問題じゃない

ベネッセ対応間違えただろこれ
報告されずに悪意あるユーザーの所で公開されたらねぇ...
悪用されて信用落ちるぞ

善玉ハッカーっぽいけど脆弱性見つける手段＝攻撃の下調べだろ
事後報告が受け入れられず腹いせにベネッセの名前出したと

バカがいっぱいいる

>>372
まだこのように犯罪者を美化する馬鹿がいるとは
ID:vZghWIoj0 は赤くしておいてやろう

>>337
サーバの異常早期検知・早期防御としては当然のことだな

2ch荒らしの迷惑行為を書き込み禁止規制にして書き込み利用者のインターネット接続プロバイダに通報し対処を要求するように
サーバに対する迷惑行為も同様にするのは至極当然

ベネッセのネット無知は昔から。

問題を指摘したら、クレーマー扱いとか東電みたい対応だな

>>400
ベネッセが訴えなかったら犯罪者じゃなく功労者になっただろうに。。。

>>306
それは間違いだろうな
見知らぬ人間からサーバを探られて、見知らぬ人間からメールが来れば
どこの誰でも身構えるのが当たり前

>>397
悪用されても信用は落ちない
ユーザーがバカをみるだけで企業は痛くも痒くもないし
日本の裁判所も企業だけを守ってくれる

だから俺たちがベネッセみたいな悪徳企業を叩かないと何も良い方向に進まない

>>312
もちろん、事前の電話でIPAなり何なりの適切な担当者に注意喚起しておいて
IPAなり何なりとしても準備に入って、それでIPAに報告を入れれば
対処も結果確定も素早いものになるだろう
広い意味でのソーシャルエンジニアリングということだ

火消乙
このスレはage続けなきゃだめだ

IPAが味方だと思っている奴は情弱か敵の手先
あれは脆弱性報告をお蔵入りにするために作られた隠蔽組織

>>321
> 実際XSSのコード流すだけじゃ侵入にならんと思うんだけど。
それはあなただけの攻撃者に好意的かつ身勝手な推測でしかないわな
実際には別のこともやっていたのかもしれん

火消君も火消のふりしてageてくれてるし
やっぱりベネッセと戦う聖戦士だったんだな

>>322
携帯電話ばかり使っていると、すぐに目的の相手が電話口に出てくるのだから
どうやったら相手を電話口まで呼び出せるか、ということにも
気を回して努力する機会がそもそも無いんだよな
有り体に言えば、交際相手の家電（いえでん）に電話して相手の親が電話に出た時に
どのように話せば相手の親から信頼を得られ、交際相手を電話口に出してもらえるか、だ
しかし互いに携帯電話端末を持っていれば、そんなことを考える必要はまるで無い
そうして、人間はどうぶつけだものへと堕落していく

願望などではなく、それがおまえさん自身の現実であるというのなら
それを素直に受け入れ、是正・改善に向かって行動したまえ
どうせ敬語もろくに使いこなすことがかなわないコミュ障なのだろうよ

xssとかはずかしすぎるだろｗ

>>410
推測も何も、公開されている情報からは侵入とは判断できんよ。
つか、それ言ったら、別の事もやっていたのかもしれん、も身勝手な推測でしかないわな。

>>327
内容以前の社会人としての常識、一般的儀礼の問題だ
自社所属の人間が自社Webサイトを見ていて気づいたことを自社に通報するのと
見知らぬ無関係な赤の他人がWebサイトを見ていて気づいたことを該当社に通報するのとでは
それは違う扱いになるのが当然だわ

JPCERTやIPA経由の通報であれば、
その二次発信者たるJPCERTやIPA自身の名によって技術的内容は自動的に保証される
訳の分からん正体不明の一般人からの通報ではそうはならない

>>2がくるくるぱー過ぎて吹いたｗ

身勝手がどうこうとか憶測がどうこうとか既にどうでもいい事だな
今やベネッセを叩くのが国是

さすがIT立国（笑）

>>331
メールを受け取った社内部署と
サーバーのアクセスログを確かめた社内部署がまるで別だったんだろう
常識で考えればたちどころに分かるはずのことも
いちいち書き込んで示してやらな分からんかな、たわけの子は

これで少しでもベネッセにダメージがあれば
少しだけ日本のインターネットはよくなる
これまでずっと悪徳企業に逃げきられてきたせいでこうなった

これ要は公共施設に、おたくの窓ガラス割れてますよ、って教えてやったらウゼーなお前誰様のつもりだよって通報された、ってことでしょ
批判してる奴頭おかしいわ

法律的には仕方ないのかもしれんがちょっとかわいそう

仕方ないとかかわいそうとかそんなレベルの話じゃねーよ
暴虐キチガイ企業を叩いて叩いて社会的制裁を加えなきゃだめだ
今までみんなビビってそうしなかったからこんなに駄目な日本になっちゃったんだ

>>423
理不尽だろうが違法行為だからねぇ。
やってる方もそれ覚悟でやってるようだし別にどうこうすることもない。

だから法律なんか関係ない
ベネッセの悪評を広めないとだめなんだよ

サイバーノーガード戦法

>>235

なんか言ってることめちゃくちゃだな
「レス数を増やすためのアフィカスの釣り」って書いてた人がいるけど、そうなの？
ネットに誤解や捏造が広まるのはよくないから訂正するぞ

＞他人を出し抜いておれさまが真っ先に借り出したいというエゴ丸出しなので
＞ああいうのは逮捕されて当たり前

それ業務妨害罪の構成要件と何の関係もないよね。
てか初めて聞いたわこんな屁理屈ｗ
新着図書のチェックがエゴ丸出しって、RSSやらメール通知やらがこんだけ普及したこの時代に何言ってんのさ

>>415
アホか
そのまま放置すれば間違いなく悪用されて被害者が出るんやぞ？
その場合、ベネッセは被害者ではなく「間接的加害者」になるんだが

「お宅のセキュリティはウンコ以下ですよ！」という善意の通報者を訴えるとかバカの所業やが

# 話題の人物は、実は凶状持ち・前科持ちだった、というわけか。
# 悪用してWebサービスを大混乱に陥れた前科があるなら、プロバイダがネット接続を停止するのも当然だ。

「マウスオーバーの」問題についての全容 2010年9月22日水曜日
ttp://blog.jp.twitter.com/2010/09/blog-post_22.html

Twitter Meltdown the Work of Hobbyists, Not Malicious Hackers 2010-09-22
ttp://www.eweek.com/c/a/Security/Twitter-Meltdown-the-Work-of-Hobbyists-Not-Malicious-Hackers-316813/
Twitterの“XSS騒動”はどのように広まったか 2010年09月24日 08時22分
ttp://www.itmedia.co.jp/news/articles/1009/24/news023.html

XSS四天王 2010-09-22 02:30
ttp://anond.hatelabo.jp/20100922023033

>>427の続き

＞> 本人に不正アクセスの意思があったかどうかを直接確認せずに
＞アホか。
＞殺すつもりではなかったので殺人ではありません、で通るなら
＞警察も検察も要らんわボケ。

librahack事件のことを言ってるなら、直接確認しなかったのは明らかに愛知県警の勇み足
偽計業務妨害罪が成立するためには構成要件として業務妨害の意図が必要で
それは警察が本人に確認すればすぐわかること。というか意図不明で礼状出して逮捕するほうがおかしい。
これはストーカー罪を始めとする他の容疑の捜査で日本中の警察が当たり前のようにとっているやり方。
一度警告して、本人の口から直接「やめる」という誓約を取れば、次にまたやったときに
本人に犯意があるという確実な証拠になって、逮捕起訴がすんなり進められるからね。

愛知県警がとりわけ悪質だったのは、うっかり犯意のなかった人間を逮捕したその後に
犯意があったと本人の意思に反して無理やり供述させるために二十日間も勾留し続けたこと。
礼状出した裁判所もゴミ。

てか>>423とか見ると完全にネタキャラなんだろうけど、>>424の方はどうもガチっぽいな・・・ｗ

これからベネッセって名前を見る度に反応カキコするから楽しみにしといてね

>>427
> 新着図書のチェックがエゴ丸出しって、RSSやらメール通知やらがこんだけ普及したこの時代に何言ってんのさ
これはひどい歪曲を見た
ネットに誤解や捏造が広まるのはよくないから訂正するぞ
単に新着図書目録というだけでなく、貸し出し予約が入っているかいないかまでのぶっこ抜きだからね
そんなRSSで一覧を配信してもらうとか、予約結果をメール通知してもらう
なんていうような話と比べるものではないわ

新着図書借りたさにカウンターを占領すればそれは業務妨害罪になっておかしくない
理屈がどうこう以前の、社会的秩序の常識だわ

>>428
アホか
なぜJPCERTやIPA経由の通報ではまるでダメで、直接に通報しなければならないのか？
その必要性の説明をしてごらんなさいな
JPCERTやIPAを通じてお知らせしておけばそれで充分じゃないのか

善意の通報者であるというのはあなたの思い込みでしかない
通報者がどんな人物であるかなんてのは知らなくて当たり前だからね

>>423 >>425
とにかく中国や韓国やフジテレビの悪評を広めないとだめなんだよ、とでも思い込んでいるらしいネトウヨ
と行動原理がまるでそっくり

>2で終わってた。

>>432
＞単に新着図書目録というだけでなく、貸し出し予約が入っているかいないかまでのぶっこ抜きだからね

いやいや、オンラインの検索システム使ってその情報を収集することの何が
逮捕されるほど強欲で悪質なことなのかさっぱり理解できないよ
「貸し出し予約がー」ってなんだよそれｗ

＞新着図書借りたさにカウンターを占領すればそれは業務妨害罪になっておかしくない

実際にカウンターを占有すれば業務妨害罪になってもおかしくないけど
あれは一般的なwebサイトへの手動ブラウザアクセス以下の頻度で
（一セッションごとにわざわざ一秒間隔を開ける低負荷仕様）アクセスしただけ
現に同じMDISの製品を導入した日本各地の図書館サイトで、一般人の手動アクセスによる障害が発生している。
サービス障害が発生した原因はMDISのソフトウェアがwebリクエストをさばくうえで常識はずれな設計だったからで
しかもMDISはその事実を隠して嘘の解決法を顧客に指示しながらソフトウェアをこっそり改修していた。

これは相当恥ずかしいなベネッセは
紙の教材からウェブに変わりつつあるのに
まあ元々ヤクザなビジネスやっているくらいだからしょうがねえけどな

なんか頭おかしい人いてびびった

ちなみにベネッセはこの通報者の指摘を受けてサイトを改修し脆弱性をふさいでいます
相手を犯罪者扱いしながら有益な情報だけは何食わぬ顔でこっそり利用する企業ｗ

>>433
直接通報していかん理由が皆無
そして脆弱性を指摘されたのを訴えるトンチンカンな対応については何も解決してねえ

つーか、企業サイトの脆弱性をプロバイダに通報してどうすんだハゲ

セキュリティよりもメンツを優先させるわけね
ちっちゃい会社だ

おまえら知らないだろうが

福竹書店だったときに
ちょうと会社が通学路にあった

突然の大雨で福竹書店の会社の前で雨宿りしてたら
事務のお姉さんがお茶を出してくれた

ほんとやさしいいい企業だよ

こういうのって実際に試してみないと脆弱性があるかどうか判断できないんじゃないの？

>>429
飛躍しすぎだと思うが
脆弱性を見つけたらどうやって面白く広めてやろうか考えるって奴も居るのも事実だからなあ
界隈にそういうのがいる時点で企業側が警戒するのは当然ではあると思う

今回みたいに「ぼく素直に教えたのにこんな対応されたよ…」って広める行為だって
企業側からしたら「俺の報告に耳を貸さない奴がいるんだけど。みんな叩けよ」って焚き付けられてんのと一緒だし
結局脆弱性報告されたら丁寧に対応しろよクソ企業がって脅して接客態度押し付けてるのと一緒でしょこれ

こんなやり方やってたら不ア法の時みたいに規制厳しくされて
不正クエリ投げただけで違法行為ってことになりかねないんじゃないかとも思えるな

>>444
>>11みたいな人だから、そういう対応受けるのは別に初めての経験じゃないだろうと思うし
なにより
「相手が耳を貸さない」「相手が丁寧に対応しない」から声を上げたわけじゃなくて
「相手に回線止められて、いくら説明してもまったく聞いてくれない」
「プロバイダに誓約書を出すと脆弱性報告活動そのものが一切できなくなる」
から声を上げてるんだろ
なんか大事な部分がすっぽり抜けてるぞ

>>445
いやもちろんベネッセの対応に問題がないとは思ってないよ
ただこうやってブログに書いて公表するってのは
書かれる企業側からしたら態度硬くする要因になるだけじゃないのかなと
そういう圧力掛けたいってんなら別だけどなあ。と思ったってこと

要するに本当にブログ通して呼びかける必要があったのか・それしかなかったのかが疑問だったというだけだねスマン

ベネッセが馬鹿だってことでＯＫ？

>>447
自分の行為が万人に受け入れられて歓迎されると思い込んでいる奴が馬鹿

　　　　,､‐'''''''''ヽ､
　　　　/:::::;;-‐-､:::ヽ　　　　　　　　　　　 _,,,,,,,_
　　　 l::::::l　　_,,､-‐"iiiiiilllllllllllliiiiiiiｰ-､__ゞ:::::::::::｀ヽ,
　　　　ヽ::｀／: : : : iiiiiilllll||llllliiiiii: : : : : : ヽｲ~`ヽ:::::::i
.　　　　／;,..-‐､: : : : : l|l: : : : : : : : : : : : : ＼　ﾉ:::::}
　　　 /: /: : : : :｀.: : : : : : : : :/´￣＼ : : : : : ヽ:::ノ
.　　　 !: : : :iflllli､: : : : : : : : : : : : : : : :ヽ: : : : : :.!
　　　 |: : : :llllｆ　l: : : : : : : : : : :.iflllli､: : : : : ＜iiii|
　　　 |: : : :|llll　|: : : : : : : : : : .llllf　l: : : : : : : : :.|
　　　 |: : : :.!lllll!' : : : : : : : : : : |llll　|: : : : : : : : :i
　　　/: : : : :　　　 ○　　　 : : .!lllll!' : : : : : : : :.i
　￣|: : :" 　,,,,,,,,,,,,,|____　　　　: : : : : : : :.＜iii/　　　　＿＿＿＿＿＿＿＿＿＿＿＿＿＿
.　／!.:　　　|:::::／　　　￣''''''''l ヽ: : : : :-─/─　　／>>167くん！
　　　ヽ　　ヽ/　　　　　　　ﾉ　　 : : :ヽ／　　　＜　　すぐにくびをつってしんでね！
　　　　＼　　＼,,_　　　 _,,,／　　　 : ／＼　　　＼しまじろうとお約束だよ！！！
　　　　　｀''‐､､__ ￣￣　　　__,,,､-‐"　　　　　　　　￣￣￣￣￣￣￣￣￣￣￣￣￣￣
.　　　　／/:::::/ヽ￣￣￣￣ノ::::/＼
.　　　／　/:::::/　｀￣￣￣/:::::/.　　＼

age

>>448
いっぱいレス付いてよかったね

>>2
それって数年前本当に修羅の国北九州で起こった事件じゃねぇかｗ

>>2
記事は無くなってたけどokwebにあったわ
http://okwave.jp/qa/q6696187.html

ハッカーの意味を取り違えてる日本企業の多いことったら
ネットの技術はハッカー(とクラッカー)により成長して来たというのに

455 ：/名無しさん[1-30] ◆.htmlXG20g ：2013/09/12(木) 21:59:48.78 ID:5eoEtsm+0

(´･ω･)ω･`) ｷｬ-
/⌒ つ⊂⌒ヽ　ｺﾜｲｰ

ジャッ部族は犯罪被害にあってからでないと
魔女狩り行うんだからもうほっとけよ
セキュリティホールがあると通報したやつがアホ

@kinugawamasato
追記しました。
ベネッセの方がプロバイダへ「不正アクセス情報の取り下げ」および
「停止解除のお願い」の連絡をしてくださいました。
徳丸さんのサポートがなければ事情をご理解頂くことは難しかったと思います。
本当にありがとうございました。
2013年9月12日木曜日 22:08:43

よかったよかった
ここで報告者を叩いてた人間はベネッセ以下だったというオチ

＞報告者を叩いてた人間はベネッセ以下だった
ねーよ
ベネッセが一番ゴミクズカスクズなのはどうあがいても変わらん

ベネッセの火消しは,
書式を整えて、手順を踏み、自分たちの身内とわかったうえでないと、
火事の通報は受け付けないんです。

よくわかんないけど、なんとなくベネッセのネットワーク担当部門はセンスの古いアスペが居る気配。ダメなアスペだから、他のアスペの素晴らしい業績に泥を塗りたくてウズウズしてんだろうな。

こんなんだから簡単に技術だの情報だの流出しちゃうんだろうな

モヒカン族vs.日系企業

ジャップ特有の老害さ

>>457
なんだよ解決したのかよ

よかったよかった。
でも「ベネッセはバカ」が広まってしまったな。

元々真っ黒な糞企業で有名だったが更にバカだということまでバレてしまったなｗ

>>72
マリオクラブを潰そう
任天堂様が作ったゲームのバグを指摘するとか狂ってる

火消しじゃないけど>>457見ると
そもそもこの人徳丸氏と面識あったんだろうし
ブログなんかにする前にその界隈の人から協力仰ぐとか内輪で何とかするってのも出来たんじゃないのと思っちゃうわ
まぁあくまで部外者の結果論だけどさ
何でも公にすればいいってもんじゃないというか凄くIT業界な流れだなって感じがする

netの世界では明らかな脆弱性を見つけた場合
サイト運営者本人に通知するどころか、上位会社（レン鯖とか）にも連絡する場合がある

そいつのサイトに登録してある個人情報ばらまかれる位なら第三者は関係ないけど
踏み台や迷惑メールの発射台に使われる事もあるわけで
ましてや過去に自分がそのサイトを利用して個人情報預けてるならなおさらだわ。

ベネッセが非を認めたみたいだね
長文書いて擁護してた奴は生きてて恥ずかしくないの？

>>454
ソフトウェアの世界はクライアントからの要求と工数と仕様書によって発展してきたと思ってる奴が結構いるみたいだがな
ソフトウェア工学自体できて日が浅く疑問視されているし、そのソフトウェア工学も日本において適切な運用が成されているとは言い難いのが現状だが

謝罪age

>>470
kwsk

こういう企業は公式謝罪とかしないからな
裏でこそこそ連絡とって無かったことにしようとする

it企業メインで脆弱性ハントしてて、一般企業の現状を知らなかったんじゃないかな
それは無知なんじゃなくて、そんなこと知らずに生きていける第一線の人なんだろう
リンク先にもあるけどgoogle脆弱性発見貢献度２位は、プロの人だろう

facebookでも似たようなのなかったっけ
指摘をシカトされてた奴
最終的にはザッカーバーグのページいじってアカウント凍結みたいな

別に日本どうこうじゃないと思うなぁ

>>476
あれも微妙大人気ないけどfbの権限の範囲内だからなあ。
これは法律にも違反してない行為に対して周りを巻き込んでぎゃーぎゃー喚き立てて業務妨害してるからたちがわるい。

>>240
犯行の手口公開とか警察やマスコミさんの大得意技だし
それを公にすることが特に悪いこととはおもわんけど。

あと警察も盗まれたパンツを並べて報道陣に公開したりするよねｗ

違うべきべきべきべきべきべきべきべきべきべきべきべきべきべきべき
べきべきべきべきべきべきべきべきべきべきべきべきべきべきべきべき
べきべきべきべきべきべきべきべきべきべきべき

>>469
あからさまにクラックされててそこらじゅうに迷惑かけてたサーバーみつけたときは、上位会社にだけ連絡したわ
ニュースにもなったしここにもスレ立ったのに、俺の名前は一切出なかったが、そんなもんなんだろう。

これ不正アクセスでもなんでもなくね？

ベネッセ晒しあげ

欧米とコンプライアンスの根本が違うんだろうな
じゃなきゃこんなことしねえ

善意のハッカーをこんな扱いにするんじゃ
日本じゃどんな法律ができようがサイバー攻撃には無力だな

>>436
常識的には、自分が借りたい必要のある本についてだけ
それが貸し出し中であるのか図書館に戻っているのかだけを調べれば済む
しかしそうではなく、借りたいか借りたくないかも分からないのに
とにかく新着図書ばかりをしかも大量に追いかける、
それが強欲で我がままでないとしたらいったい何なのかねｗ
いたずらに無駄な負荷をかけているばかりでしかない

実際にカウンターを占有しても、実際にサーバーを占拠しても
業務妨害罪であることに変わりはない

> あれは一般的なwebサイトへの手動ブラウザアクセス以下の頻度で
> （一セッションごとにわざわざ一秒間隔を開ける低負荷仕様）アクセスしただけ
これも完全な詭弁
秒間１セッションなんて、手動でできるわけがない
そのどこが低負荷仕様なのか

> 日本各地の図書館サイトで、一般人の手動アクセスによる障害が発生している。
当該の図書館では業務妨害事件が発生するまでに、そのような障害・苦情は発生していない

ゴルゴ13でも似た話がある-バイルス・チェイス
世界的なソフト技術者なのに銭にならない事をしている暇人だから誰も把握していなかった話

>>444
いや、飛躍しすぎではないよ
実際にこいつは、Twitterに指摘したが対応してもらえなかったので
これを勝手に一般に実行して手口を広め、Twitterを大混乱に陥れたわけだ
Twitterの公式な説明としては、うっかり古いヴァージョンを復活させてしまっただけだ
としてはいるがね
一度やった奴が、二度三度と同じことを繰り返さない、という保証はどこにもない

結局、こういう奴らが
おれさまが直接に教えてやっているのだからおれさまの言うことを直ちに聞け
さもなくば大混乱に突き落としてやる
などと暴れ回ることで、結果的には
インターネットの自由度がますます狭められて自分たちで自分たちの首を絞めていっている
という皮肉な事態だね

不正クエリ、怪しげなクエリを投げたら警戒されてプロバイダを止められるのは当たり前
自分がシロだと証明したいならJPCERTでもIPAでも活用すればいいのに
というごく当たり前の社会常識が、 >>440 >>445 には通じない
なぜか直接に通報しなければならない、ということに徹底して固執する偏執狂

毎秒1セッション程度でコケるのはヘンだよ
負荷テストの時点で気付かなかったのかね

>>477
> あと警察も盗まれたパンツを並べて報道陣に公開したりするよねｗ
それは、皆さまの税金を警察は有効活用して犯罪を摘発しました
という戦果を誇って大本営発表宣伝しているだけのことだな

>>483
善意のハッカーであるというのは、あなただけの決めつけ・先入観でしかない
あなただけの考え方全てがそのまま全世界に適用されるわけではないので

>>489
んなことない。わざわざ伝えて来てるのが善意じゃないなんて全世界共通

>>490
日本語おかしくなってた、、、、

伝えてあげるのが善意なのは全世界共通て言いたかった。。

まぁここは中世ジャップ国家ですから
忠告なんて無駄無駄

善意なんて確認のしようがねえじゃん。善意の第３者装って通報してくる犯罪者なんか、世の中腐るほどいるわ。

ベネッセはいろいろ労働問題起きてるよな過去に
やっぱブラックか

善意の不法アクセスが有りなら善意の盗撮も有りか？
バカッターの盗撮はDQN撲滅のために善意で上げてるのか？

IPAなんて岡ちゃんが居たつこうた組織だぞ
冗談は顔だけにしてくれたまえ

>>495
下着見えてますよって善意で申告するのは有りだろ
今回のはそのケース

>>493
伝えて終わりが善意じゃなきゃ何なんだよ。。

結局、名声ある人物の仲介で解決かよ
名声権威こそが正義だな

司法ばかりでなく、ネットも中世な日本・・・

もうなんか国全体がシステマティックに腐ってるか狂ってんだろ。

報告したら止められたとかワロタ、ひどすぎるよー

もとのトピック見ると相手が相手だからこうなったって感じもあるようだな
これから仮に脆弱性とか見つけてもベネッセ相手の場合は黙っておくほうが発見者もいいんじゃね
迷惑被るだけなんでしょ

規制議論板で荒らし報告したら、
「荒らしを報告するのも荒らし」ってジェンヌに規制されたようなモンだな。

トイレから出てきた女がスカート巻き込んでてパンツ丸見えですよって声かけたら捕まったってことか

ベネッセが失態を迅速に揉み消そうとしたら相手が結構大物でこっそり抹殺という訳にはいかなかった

おわり

>>484
＞常識的には
お前の思い込みを一般化するな

＞サーバ負荷
だからサーバ設計にミスがあって普通のwebサーバより遥かに低頻度のアクセスで停止するようになってたの

＞手動
はあ？手動でwebブラウザ使ってサーバに一回アクセスしたら
何本のセッションが張られると思ってんの？
何が詭弁だよ。基本的な知識が何もないくせにずっと粘着して
負荷だの詭弁だの常識だの叫んでたのかよ
なんだこいつ

＞当該の図書館では発生していない
だから何？
「通常アクセスですら発生する欠陥があって
それが通常アクセス以下の負荷でしかないクローラのアクセスで発生した」
という主張や、その主張に基づく技術者の擁護に対して
それがなんの反論になってるの？

なんか嫌儲で岡崎図書館が話題に出るといつもこのパターンになるよね
どっかで図書館擁護して大恥でもかいたのか？それでこんな意固地になっちゃってるの？
って心配したくなるような無知な人が登場して無茶な論陣を張るの

>>486
まてまてまて
FBの場合は、報告制度に従って通報したが相手にされなかった通報者が
手口を勝手に公開して、それが問題になってるんだろ。
ベネッセの場合は発見者が通報しただけでいきなり回線止められてるんだぞ。

なんか一晩たったら急に論理が粗雑になってるね

>>470
＞ベネッセが非を認めたみたいだね
＞長文書いて擁護してた奴は生きてて恥ずかしくないの？

ベネッセにハシゴ外されて恥ずかしさのあまり頭がバカになっちゃったらしいよ
かわいそうだね

ベネッセ最悪だな
何の関わりもないから何の印象も持ってなかったけど
これで最悪企業の印象が植え付けられた
これからも関わりを持たないので、この印象は今後変わり様がない

問題を指摘してくれてるのに感謝するどころか叩き潰すってさすが日本って感じだな

そうかそうか

ケンモメンはXSS探したことが無い奴多そうだが、
XSSを探したりネットワークセキュリティツールで詮索するのは、侵襲性が高いんだよ。

何かの時には何時でも踏み台に使うためにわざと脆弱性を残しとかないといけない
暗黙の何かがあるんじゃないの？

>>512
まあ直接攻撃ですからねぇ。。

>>509
少なくとも、IT時代に対応できてない耄碌した組織って印象は残ったね。

IT音痴やセキュリティ音痴は他の企業でもみんな同じだから
そういう問題じゃないんだよな
この恩を仇で返す体質はあの国の遺伝子だよ

つまりどゆこと？
社会の窓が開いてるのを指摘したら強制わいせつで通報されたようなもの？

>>517
スカートのファスナー下りてるよって指摘したら無理やり貞操帯を装着させられた
みたいな話

ベネッセは自分で自分の首締めてるじゃん

>>513
スノーデンのニュースとか読んでると、そういうこともあるかと思っちゃうね。
ベネッセはいろいろ個人のデータをつかんでるし。
わざと「誰か」のために、脆弱性を残しておいたのに、こいつ余計なことしやがってとか、とか。

これは安倍チョン中世ジャップランドだね

>>520
わざと残しておくならこんな稚拙な穴にしないだろ
こういう根性が腐ってる企業は金で個人情報売りさばいてるに決まってる

悪い人に先を越されたら個人情報だだ漏れ祭りになってたかもしれないし
いい人が穴を見つけてくれてよかったんじゃない(´・ω・｀)

>>523
ベネッセ自体が悪い企業だったわけだから意味なくね？

あんまりジャップとか言いたくないけどいくらなんでもこれはジャップすぎだろ

こういうのってホワイトハッカーっつーの？海外では普通だけど
ベネッセがジャップすぎてわろえない
サイト運営する資格ないわ

中世ジャップランドの企業だからセキュリティが杜撰でも仕方ないよね

>>526
XSSを詮索したりポートスキャンするのはサーバ管理者側にとっては凄く敵対的な行為に写るよ。

ちなみに海外でも、ポートスキャンですら違法か違法じゃないかの議論があって、
「やる前には許可とったほうがいい」とされています。
http://nmap.org/book/legal-issues.html

2chはXSSに対する技術的知識が欠乏していて、曖昧な理解のままベネッセを批判している奴多いが、
そこらへんスラドは技術的背景を踏まえて議論が行われているのでおもしろい。

MyUTA事件といい何で日本はこうなんだろうなあ

このプロバイダーどこだろうな？まさか世界2位のハッカーがヤフーBBのわけないよな

過剰反応なのかと思ったら、余計なことをされたから激おこなのね

つまり近いうちにベネッセお漏らし祭りがあるんか

さっしーがアップ始めたらやばいんじゃない

>>528
ポートスキャンは９０年代から攻撃か否かの議論があるぐらい歴史が古いけど
XSS脆弱性の検証なんて手元のブラウザに返ってくるHTMLデータで
入力した空のタグが有効になってるかどうか見るだけでいいじゃん。

たとえばこの2chの書き込みフォームにスクリプトやタグを打ち込むのも立派な検証に当たるけど
あれすか？アンカー打とうとして専ブラと間違えて>とか>>>とか入力したら
それって攻撃になっちゃうんですかね？

そもそもベネッセが脆弱性を検証もせずに放置したままサイトを公開しているということだからな
つまり玄関が大きく開きっぱなしなのを住人に教えてあげたのに、住人が逆ギレしたようなもの

>>534
XSSの詮索は
・ベネッセがアクセス拒否した
・Masato Kinugawa氏が釈明のメールをベネッセに送信した
ことからわかるように、敵対的な行為と受け止められます

>>536
スラドって妄想をもとに論張る場所なの？

セキュリティホールmemoがこの件を取り上げてない
つまりベネッセは悪徳企業であるばかりか反日企業でもあるってこと

SONYなんてクラッカー集団にやられたにも関わらずセキュリティの穴を放置したとして制裁金払わされたんだぞ

ageろよ