はてなキーワード: セキュリティホールとは
プログラミング言語のバージョンが上がるたびにバージョンアップするの?
OSは?
DBは?
ライブラリは?
面倒だから。
もし問題が出ればさらに面倒だし、客側にアップデートの必要性を理解させるのも面倒。
まあ社内開発でも同じか…
でもよー。
何年も前のシステムがセキュリティリスクに晒されてるのマジ怖いんだよね。
面倒が起こる前に辞めて責任逃れ。
はぁ…
また辞めよっかな…
ちなみに昔開発したWEBサイトだけど、7ペイみたいにセキュリティホールあるんだよね。
ワロスw
いやいや。わろえん
>テストするしかないんでないの? そのためのテストコードだし テストコードがないなら、シナリオを組んで大量の自動テストをやるとか
言うのは簡単だけど実際やってる?
メチャクチャ面倒じゃない?
テストもだけど、話通すのがさ
>CentOS なら 毎日 yum update しとけば、大丈夫やろ・・・。
マジ?
怖くね?
おいすー見てきたぞい(^ω^)ネタバレあるよ
…
……
………
…………
……………
なんだこれは(#,゚Д゚)
あえて言おう、コレジャナイと!!!きつく言うと期待外れだったと言っていい。
求めてたのはサマーウォーズとか千と千尋の神隠しとかそれこそ君の名はとかに感じた、さぁこれから夏が来るぜ~~~みんな!!('(゚∀゚∩ って清涼感と開放感な。それが今作からは全ーーく感じられない。もっと言おうか、求めてたのは大団円のハッピーエンドだったんだよ!!!それがなんであんなジメジメした終わり方になるんだよー、おぃおぃ。そう、忘れたいたんよ。こんな感じの監督だって。
途中までは良かったんだよ。晴れ女がいて晴れを神に願いすぎて人柱になっちゃう、それを青年が救いに行く、ああこれは神から彼女を取り戻すんやな、ここから抗うんやな頑張れやー!!と思いきや、無理やり連れ返してあとは知らんぷり、結果神の怒りは収まらず東京はアボーン。( ゚Д゚)ハァ? 神も嫌ならならゲート転送すんなや 。セキュリティホールはちゃんと塞げよ
いやわかるよ、ここで晴れ(大団円)を取るような大人は汚いってそう言いたいんでしょ、それよりも彼女(雨)を取るのが愛なんでしょ。
ウルセー!!(((((;`Д´)≡⊃)`Д)、;'.・
そんな屁理屈どうでもいいんだよ、みんなをハッピーにしろよ!!!大団円で終われよ。東京を壊滅させてんじゃねぇよ。
はーもう良いわ、一つ忠告な。これから見ようと思ってるやつはな、言の葉の庭をレンタルしてきてだ、これを映画館で見ても良いや思ったやつだけにしろ。最低限それに金を払ってもいいと思わないと、上映後、落差で気分がキツくなる。
おわり( ˘ω˘)
アプリケーションサーバ自体がクラックされているんです。
ID&PASS相当の情報がメモリ上の通過するたびに自動で漏洩しています。
つまり、セブンペイに会員登録して、ID&PASSが発行されると同時に
ウェブアプリケーション上には一切のセキュリティホールが無いにもかかわらず
なんでアプリケーションサーバがクラックされているかというと、
情弱の戯言と言われるだろうけれども、同じような被害に会う人が少しでも減るようにと思って書いてみた。
言いたいことは3つ。
おかげで数百万の借金を抱え込んだ。
それの反省と注意喚起だ。(さらに言えば、当該会社への集団訴訟を目指す決起集会の開催記念も)
当時、開業一年目で一応ホームページは持っていたが、自作のもので正直、見た目は素人丸出しのものだった。
他に広告手段としては新聞折込やフリーペーパー広告などをやったが、殆ど効果がない状況だった。
そこにかかってきた一本の電話。ホームページをリニューアルしませんかというものだった。正直、新聞折り込みやフリーペーパーで何十万もかけても全く効果がなかったことが続いたので、藁をも掴む思いだったが、今から考えればそれは藁どころか鉄アレイだった。
とりあえずあって話を聴くことにしたが、念のため会社名をググってみた。サジェスチョンや検索結果を見ても特に怪しいところはなかったので、まぁ大丈夫だろうと思ったのが失敗の始まり。
電話を掛けてきたのは販売代理店で、実際に製作するのはその親会社だったというオチ。
これも後から気がついたのだけれども、親会社で検索すれば一発でサジェスチョンで「○○ 詐欺」「○○ ダマされた」というのが出てくるは、グーグルマップの評判でも1のオンパレード。
販売代理店も募集しているとはいうものの、実質親会社の社長や役員が経営者で、うちに北販売会社は住所まで同じというほぼ子会社で、検索して悪評がバレないようなカムフラージュ会社だとしか思えない。
さて、実際に訪問してきたのは終業後の22時。色々話を聴いてはみたが、一番引っかかったのは毎月数万円、5年間払い続けなければならないこと。
色々な仕掛でSEOに強い仕組みを作っているとはいうものの、Googleのアップデートで検索順位が一気にひっくり返ったなんていう話は聴いていたので、そこが心配だった。
けれども、「作った後もきちんとサポートしますから!」「電話して頂ければ、色々アドバイスもさせていただきます」という言葉に、「コンサルタントとして対応してくれるならまぁ妥当か...」などと考えてしまった。
その時の時刻、深夜1時。正直夜型とは言え、頭がぼーっとしてきてしまっていた。
結局、契約することを承諾してしまい、後日、契約書を持ってくることと相成った。
保険などもそうだが、「これ肉眼で読めるの?」と疑いたくなるような細かな字で契約書の裏にびっしりと契約条項が書いてある。
しかし、それらは一切説明せず、別紙の「重要事項説明書」というものののみで説明が行われた。
その説明書に書かれている「重要事項」というのはまぁ、行ってみれば当たり障りのない、「まあ、そうだよね」という内容のものばかり。うん、うんと頷いて、言われるがままに契約書と重要事項に署名捺印をしてしまった。
けれども、当たり前のように契約書の裏にはびっしりと相手側の会社の責任回避の情交が書いてある。まぁ、これだけ責任回避しようとするものだと後で読み直したときに感心するくらい。
それでも相手が真っ当な会社だったら、「まぁ、クレーマー対策にしょうがないか」と納得できるのだが...
しばらくして、できあがったWEBサイトを見た感想は「まぁ、こんなものか...」正直、「おお、素晴らしい、さすがプロ!」というレベルのものではなかった。それでも、自作したものに比べれば、それなりに整ってはいたので、それでもいいかと思っていた。
今、WordPressを学んで見てから考えると、本当に「素人に毛が生えた程度」を地で行くような出来なのだけれども。
まぁ、そんなこんなで使い始めたわけだけれども、正直、使いにくい。
装飾も出来るが、トーン&マナーのことなど知らないから、90年代のホームページのような装飾しか出来ない。
全体の装飾とずれてしまうので、どうにも記事の装飾が浮いてしまう。
現状から言えば、きちんとH1,H2などのタグごとにサイト全体の装飾を設定していて、それにだけを使うように指導してくれれば、それなりに整った見た目になったとは思うのだけれども。
それでも使い続けてみたけれども、使いにくいのと、記事を書く時間をきちんと確保しなかったことから大して記事を書くことは出来なかった。
まぁ、ここまでなら自分が馬鹿だった、何とか期限までガンバロウで済んでいたのだけれども、相手の保守に対する態度にどんどん不満が募っていった。
まず第一に保守料金を取っているのに何でも金をむしり取ろうとする。
ある時、メールアドレスを増やそうと思い、自分で操作をしようとサーバのIDパスワードを聞いてみた。すると「セキュリティのために教えられません」との回答。それまで自分で自由に作ってきたのだから、この回答にはムッときたが、それでも保守管理を依頼しているのだからしょうがないかと、メールアドレスの追加を依頼したら、一つにつき2000円弱もかかるという。
こんな中学生でも出来るようなないように時給何万円掛けるんだよと腹が立ったので、メールアドレスをつくるのは辞めてしまった。
続けて、SSL化しないと検索結果に悪影響があるというので、SSL化を頼むと5万円以上かかるという。10ページもないようなサイトで、しかもレンタルサーバでは無料でSSL化してくれるのに、何でそんなにかかるのか!
それでもチェックする手間もあるからしょうがないかと思って無理矢理納得しようとした。
で、とどめを刺したのがタグごとにCSSの装飾を統一する方法を聞いたとき。そんなものできて当然だろうとちょこっとWordPressを囓った自分は思っていたのだが、それは出来ないという。じゃあ、修正してくれと言ったら1万円よこせという。
月額数百円しかしないレンタルサーバに対して、手間賃込みとは言え、殆ど何にもしないのに毎月5400円も払ってきた(それも恩着せがましく特別割引料金という名目で、ほんらいなら倍額の10800円だそうな)のに無料のテーマでもやっているようなことが出来ないというのはおかしくないか?
これで一気に不信感が高まり、サイトを調べられるだけ調べてみた。
まずはエディタがGutenbergに変わっているはずなのに、古いエディタのままということを不審に思い、問い合わせてみた。
すると「当社の製品は独自ソフトであって、WordPressではありません」との回答。
「おいおい、どう見てもWordPressだろう?」と色々証拠を挙げていくと、「WordPressに独自の修正を加えているのでバージョンはありません」という珍回答。
ならもっと証拠をと、調べていたら標準で入れていたプラグインにWordPressのバージョンが記載されていることが判明。
すると数世代前のブランチのままでバージョンアップをしていない。そりゃ、Gutenbergにもなっていないのは当然だわ。
ついでに言えば、そのプラグインも全くバージョンアップしていない。
WordPressの開発元では、仮にブランチ内で最新のパッチを当てていたとしても、それは研究用であって、正規の業務にはセキュリティ上適さないと言っているのにもかかわらず。
さらにWordPressのセキュリティホールの多くはプラグインであるという調査結果があるにもかかわらず、だ。
これはおかしいだろうと言い出したら、いきなり電話がかかってきて「直接、説明させていただくので、お伺いしてもよろしいですか?」とのこと。
いったいどんな説明をしてくれるのかとOKを出したら、取締役と執行役員が2人組でやってきた。
誠実さを演出しているつもりなのか、それともびびらせようとしているつもりなのか。
で、話をしていて向こうの主張は
・いちいちバージョンアップしなくても海外からのアクセスを制限しているので問題はない
とのこと。
しかし、最後の主張は仮にもIT企業の社員としてはどうなんだろう?海外からのアクセスなんて素人の自分でもごまかせるのに、本気で悪さしようとしている人間にとっては難の障害にもならないと思うのだけれども。
本気でそう思っているならあまりにも無知だし、知っていてそんな説明するとしたら故意に嘘をついて客を丸めこもうなんていう不誠実極まりない態度だと思うのだが。
さらに「なるほど、契約書をきちんと読まなかった自分が馬鹿だったんですね」と自嘲したら、「そんなことはいっていないでしょう。そんな失礼な発言は取り消してください」と逆ギレするし。
で、しまいには「私どもとしてもお客さまに満足いただけないのは自分たちを許せないので」と称して新しいローンを組ませようとする。
さすがに呆れて断ったら「ご自分でやるなら、WordPressじゃなくてMoveabletypeが安全ですよ」と言い出す始末。だったらなんで「危険な」WordPressをおたくは使っているの?
これはだめだとあきらめて、自分で一から作り直そうと、ドメインの返還を申し出たら「リースが完済するまで返せません」との返事。
それはおかしいだろうとリース会社に問い合わせると「商品価値が毀損するのでドメインは渡せない」という回答。
IPアドレスでアクセスできるし、サーバ上にデータその他はそのままなのだから毀損はしないと主張しても、毀損するの一点張り。具体的な法律の根拠を求めても、「弁護士が確認済みです」としか返答しない。
さらに契約終了時の手続きを聞くと、「リース会社の完済証明書を提出しないと保守契約を解約できない」と言い出す始末。引落と月末に3日しかないのにどうやって提出しろというのか?
もちろんそんなことは事前に一切説明されていない。おまけに解約できないと「特別割引」とやらが終了するので月額10800円もふんだくられる。
おまけにドメイン移管については「手数料」とやらで50000円も要求する。もちろんこれも説明もないし、契約書にも書かれていない。(当然、こちらが移行したときには手数料なんて頂いていない)
骨の髄までしゃぶり尽くすとはこのことだ。
余りに腹に据えかねて、集団訴訟サイトにも登録してみたが、僅かな減額の和解案を提示されたのみ。担当した弁護士さんによるとこれ以上は法律上難しいとのこと。
不思議だったのはこの和解案に乗った人に対してもその弁護士さんは成功報酬を要求しないということ(元々手付金0、成功報酬のみと言うことだった)。全くの無報酬になってしまうのだけれども、逆にそれによって若干の不信感が沸いてきてしまう。
結局、現状は新たに立ち上がった集団訴訟グループに加入するかどうかと悩んでいる最中。
いずれにせよ、当面はひぃひぃ言ってリース料を払い続けなければならない模様。
と言うことで、とりあえず
これは肝に銘じてくださいよ、と言うこと。
まあ当元増田は頭おかしいんだなと添えておく。OB訪問の女の子に手を出した出さないとかニュースにあったが増田は自分より弱者でも手を出そうとは思わない。殆ど泣き寝入りだが生きている限り警察やら職場に告発されるリスクがうんたらある。まあに解雇まで行かなくても自分の立場危うくならないか?噂立たなくても影からうんたら言われて噂気がつかないのは自分だけて言うのも、噂聞いてる方から次は我が身と考えるようになる。まあ誰だって影で色々言われる当たり前の事だと最近開き直っている自分だってやってるからしかだがない。だが自分から灯油入れる行為は申し訳ないがNG。上司、同僚、部下のパワーバランス考えると女に手を出してセキュリティホールに穴開ける余裕があるのならこっちに余白使いたい。自分や客や会社やらが良い悪いとかではない当増田も含めて登場全員クズだと思っている同時に憎んで戦争やっても誰も得しない。弱者の女の子に何か教えてやる優しさとか正義とか不要じゃない?手を出すな内心見下して終わりにすれば良い。
PayPayで、ポイント取消になったことが話題になっていたけど、その理由の1つに家族のカードとか別の人の名義のカードを使ったことが挙げられてた。
でも、他人名義のカード使ったのわかってて、打った対策が決済取り消しじゃなくてポイント取り消しだけっておかしくない?
他人名義のカード使うのは、普通にカード利用規約違反ですよね。なら、決済そのものを取り消すのが筋だし、そもそもそういう決済をさせない仕組みをつくるべき。
自分たちが儲かった分は、ルール違反も通すとかモラルなさ過ぎ。
全くの第三者名義のカード利用は、不正利用として取り消すみたいだけど、家族間の貸し借りでもダメでしょ。
これまで決済業界って、金融を担う企業の矜持で一定のモラルを保ってきたと思ってるけど、QR決済で参入障壁が下がった結果、そういうモラルのない企業が入ってきて、こんなルール無用の運用がまかり通ってしまっているように見える。
こういうプレイヤーがいると、決済業界全体のセキュリティホールになりかねない。
業界として自浄の仕組みを作ってくれないと、利用者として安心してお金を預けられないよ。
まあ、Twitterとかで出回ってる情報が事実かはわからないので、本当はちゃんとやってるのかも知れないけど、そこを明確にしてくれないと、誰かに自分のカードが使われちゃう心配は消えないよ。
といえばiPod touch。
この安さとアプリ開発のしやすさのせいか、業務用でかつてはWindows XPが使われていたところにiPod touchが使われているのをときどき見かける。
たとえばサイゼリヤの注文受付用端末や、東急ハンズのフロアスタッフ用端末。
レジではお客さんに価格を表示するサブ画面として使っている店舗があったり、ミレニアルズ京都という簡易宿泊施設では、ベッドルームのあらゆる操作がiPod touchをリモコン代わりにして行うことができる。
iPod touchの時期モデルはいまだに発表されないが、年数が経過するにつれて、こういう端末はどうなっていくのだろう。
リプレースできずに、古くなるにつれて、店舗システムのセキュリティホールになってしまったりしないのだろうか。
個人的にはiPod touchはとても好きなガジェットなので、Appleにおかれては、業務用iOS端末としてのiPod touchの市場がどれほど大きいものか、調査をして、次期モデルを出してほしいな。
親族12人の名前を無断で使って請求した人(以下、Aとする)がいた。
親族達は懲戒請求がAによってなされたことをBに証明しなければならない。
(無論、親族達が請求をしてにないことをBに証明できればBの訴状はAに向けられる)
という流れになる。
問題はAが親族達に何の許可もなく懲戒請求をできたことにある。
もしもAが見ず知らずの人(以下、Mとする)を騙って懲戒請求したとする。
Mはその懲戒請求が自分が行っていないことをBに証明しなくてはならない。
もしもMが「自分は請求していない」とBに簡単に拒否できてしまったとする。
そうなると軽い気持ちで懲戒請求をしてしまった他の者も「自分は懲戒請求していない」と簡単に拒否できてしまう。
ムカつく弁護士への懲戒請求を、ムカつくヤツの名を騙って行う。
これはどう回避すればいいのか?
懲戒請求に限らず似たような嫌がらせは可能だと思うと夜も眠れません。
こういことの防衛策ってあるんでしょうか?
自分はあまりしません、ていうかどう話していいかとかどこまで話すべきかとか色々悩んでしまう
そうして自分のことをあまり話さないのだが、そうなるとやっぱり周りとの距離がそれなりにできてくる
結果としては少しさびしいが、これで良かったのでは?と思うことがある
というのも、プライベートを明かすということは自分の弱点が相手に見えやすくなると考えてしまうから
ただ、相手からはあまり良いイメージは持たれてないと感じるし、実際それによる疎外感は結構精神的に苦しかったりする
少し小出しにプライベート的な内容で最近した買い物の話を同僚に振ってみてんだが、案外楽しかった
話が凄い弾んだわけではないが、「(お、割りといけるやん)」と思い、適当な談話として一定時間成立していたとおもう
しかし後から考えて気づいたのだが、あの時話した内容は自分とあまり中が良くない方(かた)に口伝されて拡散されてしまっているのではないかと考えてしまった
自分でも自意識過剰だと思うがそう考えてしまったら最後、自分で自分のセキュリティホールを作ってしまったのでないかと怖くなってくる
自分はあまりしません、ていうかどう話していいかとかどこまで話すべきかとか色々悩んでしまう
そうして自分のことをあまり話さないのだが、そうなるとやっぱり周りとの距離がそれなりにできてくる
結果としては少しさびしいが、これで良かったのでは?と思うことがある
というのも、プライベートを明かすということは自分の弱点が相手に見えやすくなると考えてしまうから
ただ、相手からはあまり良いイメージは持たれてないと感じるし、実際それによる疎外感は結構精神的に苦しかったりする
少し小出しにプライベート的な内容で最近した買い物の話を同僚に振ってみてんだが、案外楽しかった
話が凄い弾んだわけではないが、「(お、割りといけるやん)」と思い、適当な談話として一定時間成立していたとおもう
しかし後から考えて気づいたのだが、あの時話した内容は自分とあまり中が良くない方(かた)に口伝されて拡散されてしまっているのではないかと考えてしまった
自分でも自意識過剰だと思うがそう考えてしまったら最後、自分で自分のセキュリティホールを作ってしまったのでないかと怖くなってくる
自分はあまりしません、ていうかどう話していいかとかどこまで話すべきかとか色々悩んでしまう
そうして自分のことをあまり話さないのだが、そうなるとやっぱり周りとの距離がそれなりにできてくる
結果としては少しさびしいが、これで良かったのでは?と思うことがある
というのも、プライベートを明かすということは自分の弱点が相手に見えやすくなると考えてしまうから
ただ、相手からはあまり良いイメージは持たれてないと感じるし、実際それによる疎外感は結構精神的に苦しかったりする
少し小出しにプライベート的な内容で最近した買い物の話を同僚に振ってみてんだが、案外楽しかった
話が凄い弾んだわけではないが、「(お、割りといけるやん)」と思い、適当な談話として一定時間成立していたとおもう
しかし後から考えて気づいたのだが、あの時話した内容は自分とあまり中が良くない方(かた)とも口伝されて拡散されてしまっているのではないかと考えてしまった
自分でも自意識過剰だと思うがそう考えてしまったら最後、自分で自分のセキュリティホールを作ってしまったのでないかと怖くなってくる