■ - hoshikuzu | star_dust の書斎

■ログインしただけで悪意あるスクリプトが作動するWebMail

さきほど、いくつか使っているWebMailのうちひとつにログインしてヒドイ目にあっております。ログインしただけで悪意あるスクリプトが作動するWebMailがこの世に実在するのです。一体何を考えてそのようなシステムを公開しているのでしょうか。放置しておけば間違い無くワームが発生しますので、たった今、運営者側に報告をし、証拠画面も残しました。この日記をこの時間（１２：２３）に書いているのも証拠です。夕刻にまた報告しましょう。夜中にも。明朝にも。返事が来るまで同じ文面で報告しましょう。満足な返事でなければ、公開せざるをえません。過去最大級のヘタレなWebMailです。このセキュリティーホールを見つけるのに２分とかかっていません。誰でもわかるよ、こんなの。何故テストしない？何故テスト項目にはいっていない？怒り心頭で勢いだけで日記を書くときっと後悔するのだろうなぁ。

■別件:返信しただけで悪意あるスクリプトが作動するWebMail

すぐ上の記事とは別件です。別サイトのWebMailのお話しです。返信しようとするだけで悪意あるスクリプトが作動するWebMAILがこの世に実在します。やはりワームが可能のようです。こちらは以前見つけて報告し、昨日修正完了の連絡を受けました。ところが、ちっともなおっていないのです。わざわざ脆弱発生の様子を画像付きで説明する報告をしましたのに、まったく同じ状況が本日も発生しております。

なぜこんなに簡単なサニタイズが、既に判明している脆弱点に対して適用できないのか私にはさっぱりわかりません。時間かけているわりには、、、ちょっと情けなさすぎです。

追記（4/16）

上で触れた返信しただけで悪意あるスクリプトが作動するWebMailから本日メールがまた届きました。確認したところ今度こそ修正完了です。なにはともあれ良かったです。gooでした。

上でぜんぜん触れていないとあるWebmailは、あいかわらず返信しただけで悪意あるスクリプトが作動している状態です。勘違いする人がいるといけませんのであえて付記しておきます。

■良い膏薬はないものか

このところ腰痛がひどいです。既に１０日は経っていますので恐らく長引きそう。MRIで診てみないといけません。なにか良い膏薬はないものでしょうか。ストレスがありますから長引くのでしょうか。本日はものすごくイライラしているのがわかります。押さえてはいるのですが。

大企業というものはどうしてこんなにスピードが遅いのだろうとふしぎでなりません。

私は見かけによらず、XSS脆弱性をわざわざ探すようなことはしていません。Webサービスは無尽蔵にありますから、かたっぱしからあたっていくハンターの気分にはとてもなれないのです。ですので一件みつければキチンと報告しています。そして気長に待ちます。それがスタンスです。ただ、インターネット上でいろいろなサービスを受けざるをえないときがあって、その場合には自衛手段として、まず検査します。これは、いたしかたがありません。

XSS脆弱性がみつかるとウンザリします。またもや報告しなければいけない義務が発生、、という気分です。でも、イヤだなぁと思うワケは、報告先の大概が、報告なんて無視ないし軽視することです。軽視する理由は不明です。能力はたんまりアルはずですからね。どんなにこちらから丁寧に説明しても駄目なときは駄目。逆にそっけなく報告しても迅速に対応してくださるところも少数ながらあります。そんなときはとても嬉しいですね。

こうしたやりとりは、普通は水面下に進みますので、積極的に公表などしていません。局所的な弱点であればなおのこと、なおってしまえばそれでＯＫというものです。

ですので、私が日記の上でなにか書いているときには、なんらかの原因があります。主な原因は、組織集団が持つ、組織としての脆弱性でしょうか。その脆弱性が気に入らないのです。

個々の人間はがんばっているのに（個々の価値観でせいいっぱいやっていることは周囲を見ればわかります）なにゆえ集団となるとおかしな振るまいを見せるようになるのでしょうか。まったくもって不思議この上ないことです。爆弾を腹にくくりつけて赤ん坊を抱いて自爆テロする母親が世界にはいるのです。集団の脆弱性の被害者です。我が子とともに天国に行くつもりなのでしょう。それは悲しい想いに満ちています。がんばっているのに、世は母と子に無慈悲だったのでしょう。世という名前の集団は、、私には考えられない振る舞いを示しています。別に自爆テロの話しばかりでないことはおわかりでしょう。

私はこういった異常な振るまいを問題視しています。誰だって他人の役にたててありがとうと言ってもらえれば嬉しいはずなのに、そんな気持ちなどスポイルしていく巨大集団。

別に私はXSS脆弱性なんて本当はどうでもいいのです。そこにころがっていれば見てしまうだけ。犬も歩けば棒に当たるだけ。出来ればこの世界が清浄であれば嬉しいだけ。ゴミがあればゴミ拾いするだけ。私は普段の生活の中で必要に応じて歩み、そして、その道すがらだけを注意深く見ているだけ。たまたま目につくんです。あっというまです。犬じゃぁないけど嗅覚があります。

そしてゴミを見つければ、しかるべく、ゴミを出して平気でいる集団にお知らせします。それはそうです、他に手はありません。しかしながら何故そんなに大集団になると脆弱なんだ？と言いたくなることがしばしばです。

XSS脆弱性を見つけますでしょ？報告しますでしょ？追加報告しますでしょ？で、脆弱点があらかじめわかっているのに数ヶ月たっても対処できないってどういうこと？馬鹿なんですか？大集団って。正規表現一発かけるのに数ヶ月必要ですか？

商品にして提供しているのだからユーザに見つかる前に、リリース前に、目立つ脆弱性は全部消しておくのがプロじゃぁないのでしょうか？何ゆえそれが出来ませんか？

4/18までに、とある案件に対してある大企業から明確な意思表示なき場合には私は何か決断をしなくてはいけないでしょう。【何か】は今は考えていませんが、なんとなく方向性はあります。残念無念。やりたいことはまだいっぱいあるのに。残念です。

腰痛ばかりでなく鬱なのかもしれません。世鬱う。良い膏薬はないものか。