2013/09/11

たぶんXSSが理由でインターネットがとまった

昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。

そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。
問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。

サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。
これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています)

プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に苦情があったことが記されていました。
プロバイダには、攻撃をしたとみなされ、再開するにはこういった行為をしないという誓約書を書かなければいけないそうです。

不本意なので、サービス提供者とプロバイダに事情を説明しましたが、サービス提供者は「セキュリティ上の理由でこたえられないが、一般論として不正なアクセスがあれば報告する」の一辺倒で、例外的なハンドリングをするつもりはなく、思考停止しているかんじでした。なぜ僕の報告と、僕のアクセスと、プロバイダへの連絡の事実を調査し結びつけることができないのか、意味が分かりません。それが攻撃によるものではなかったと、あなた方がプロバイダに連絡してもらえば、誓約書なんて書かなくてもきっと済むはずなのに。

そもそもXSSは、サーバーを直接攻撃するような性質のものではないため、発見する人間をアクセス拒否したところで根本原因を修正しなければ全く解決になりません。僕のブラウザでアラートがでなくなるだけです。
セキュリティ問題の報告はこれまでたくさんしていますが、このような事態になったのは初めてであり、アラートを出せる状態を確認するアクセスが、プロバイダに連絡するほどの不正なアクセスであるという、この会社の言う一般論は存在しないと思います。

こういった誤解が生じることはありうると思いながら日々報告していましたが、もし誤解が生じても、人間なので、説明すれば理解してもらえると思っていました。
ところが、報告して、事情まで説明しているにもかかわらず、会話ができない会社がある現実は、残念であるとしか言いようがありません。そのようなセキュリティで何が守れると言うのでしょうか。

こうした行為さえ規制されて、善意の報告者を委縮させ、セキュリティ問題が放置され続ける状態になっても誰も得しないと思います。
 かつて利用者であった僕の情報を何らかの形でまだ持っているのなら、セキュリティ問題でせめてそれを漏らさないでくれと祈るばかりです。ベネッセさん。

とりあえずはやくまともにインターネットがしたいです。

0 件のコメント:

コメントを投稿