構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

やっぱりスルーはやめた

これ↓の話です。

hmatsu47.hatenablog.com

 

同じStrutsなら1より2のほうが怖いだろうとか、WAFや外部サポートがあればまあまあ大丈夫、そもそも盗られて困る重要情報なんてないじゃん、ということを思わないわけでもないのですが。

倫理の単元を履修したことで考え直したのと、もう1点(脆弱性ではないのですが)セキュアプログラミングの観点から、ちょっと疑問を感じる部分を偶然見つけてしまったこと、そして何よりも「情報処理安全確保支援士の教材プラットフォームとしてふさわしくない」ということから、勇気を出して(?)問い合わせフォームから(もう1点の疑問とともに)伝えておきました。

まあ、正規の操作でわかる範囲で確認して推測しただけであって(「.do」以外のところも見るには見てます…あくまで正規の操作の範囲で)、そもそも見当違いかもしれませんし、どういう回答が来たとしても、キレて内容を晒すことはありませんが(「そいつは使ってないから安全でっせ」という回答なら、文面はNGとしても要旨は公開しても良いかな?)。

もっとも、予想外の「斜め上回答」があったときには、(別の意味で)我慢して黙っているのが辛そうです。

※そういうときに墓穴を掘らないようにTwitterアカウントをあえて持ってないのです。

 

 

登録セキスペの登録申請準備以降の記事一覧はこちらです。