杞憂あんど憂鬱

夕食を食べた後、唐突に新発見があり、IPAに報告。ウェブアプリケーション脆弱性関連情報届出。

ウェブアプリケーション脆弱性関連情報届出の方は、以前メールでもらっていたのを見返していたら私の見落としに気がついたもの。厳密に言えばウェブアプリケーションではなくて、国際的に広く使われているサイトのサービスの不具合なのだが。これって受理してもらえるかどうか心配。似たようなのはニュースで見かけたのでそのことが頭の片隅にあり、お陰でメールの読み返しで気がついた次第。ニュースはよく読むように>私。

いいかげんな報告なのでIPAさんには御迷惑をかけるのも心配。でも気がついてしまったからなぁ。市民の義務。

杞憂あんど憂鬱///である。

実はソフトウェア製品のほうにも別件でポストしたのだが、ポスト直後に私の間違いだと気がつくあわてぶり。IPAさん、すみませんでした。

もっと杞憂あんど憂鬱

上であわてたお陰で私の中の大きなウッカリ誤解を解消できた。

全く別件で(この日記の過去記事にも書いたかな?)改めて気がついたこと。

これからやってみたいこと。HTMLファイルを1個とJPEGあたりの画像ファイルを1個ダウンロードしてきたときに、そのHTMLファイルをIEで開いた瞬間にKillbitの立っているActiveXが作動してしまう…かも。ただの妄想。今度はしっかり確認しようっと。なんだか以前不受理になった実証コードの壁を突破できるかもな気がしてきた。ん?あれれ?脳内だと出来ない気がしてきたよ。どうだったっけ?不受理の理由がわかったかも(汗)

形にならない不安

そういえば、以前Bugtraqかなにかに投稿されてたネタがあったなぁ。誰にも相手にされてなかったっけ。OperaIEで脆弱だと主張しているもの。確かに現象は確認できるのだけれど。皆さんにとっては、これってドコが脆弱性なんだよ、みたいな気分だったのだろうと思う。IEでは、該当のHTMLを開いて、メニューバーから表示-ソースとしてやっても、そこにはScriptが見えない、だけど実はJavaScriptが動いているのだけれどどうよ?っていうネタ。Operaもそれに近い挙動。Operaの公式サイトのForumでも「どこが脆弱性なんだよゴルア」扱いだったよなぁ、最近みかけたけど。あのネタ見た時には確かFirefoxでも少々工夫すれば似たようなことが出来ると直観したんだけどシッカリとした確認までしたのかどうか既に忘れてしまっている。俺っていいかげんだからなぁ。

ローカルに落としたHTMLファイルをIEで開いてから、ソース表示して、"Marc of the Web"が書いてないから安心安心って、思っちゃいけないんだなぁとさっき思った。当たり前だけど。エディタで事前に確認しましょうということ。でもなんだか勘違いしそうな感じはあるなぁ。俺っていいかげん。