これ↓の話です。
同じStrutsなら1より2のほうが怖いだろうとか、WAFや外部サポートがあればまあまあ大丈夫、そもそも盗られて困る重要情報なんてないじゃん、ということを思わないわけでもないのですが。
倫理の単元を履修したことで考え直したのと、もう1点(脆弱性ではないのですが)セキュアプログラミングの観点から、ちょっと疑問を感じる部分を偶然見つけてしまったこと、そして何よりも「情報処理安全確保支援士の教材プラットフォームとしてふさわしくない」ということから、勇気を出して(?)問い合わせフォームから(もう1点の疑問とともに)伝えておきました。
まあ、正規の操作でわかる範囲で確認して推測しただけであって(「.do」以外のところも見るには見てます…あくまで正規の操作の範囲で)、そもそも見当違いかもしれませんし、どういう回答が来たとしても、キレて内容を晒すことはありませんが(「そいつは使ってないから安全でっせ」という回答なら、文面はNGとしても要旨は公開しても良いかな?)。
もっとも、予想外の「斜め上回答」があったときには、(別の意味で)我慢して黙っているのが辛そうです。
※そういうときに墓穴を掘らないようにTwitterアカウントをあえて持ってないのです。
登録セキスペの登録申請準備以降の記事一覧はこちらです。
