これからの流行になる予感。脆弱性や納期の遅れに使ってみると良いかも(使用後の保証はもちろんありません)。
成り行きはというと、
いくつか質問させてください。
1.クレジットカード情報を含む重要な個人情報を扱っている Web システムで多数の XSS 脆弱性などセキュリティ上の問題を抱えているにもかかわらず、現在も正式版として公開しつづけている現状についてユーザに対する情報公開がありませんが(あるいは見つけられませんでしたが)今後も同様に脆弱性情報を秘匿しておく予定でしょうか?
2.公開前のテストでセキュリティに関するテストは行いましたか?
と、花形 満さんが質問されたのに対して、運営側スタッフのntこと竹中 直純氏が以下のように質問に答えた。
まあ、色々僕も言いたいことはあるんですけど、中の人としては申し訳ない限りです。以下、個人として発言します。
全部作り直しても今の体制だと多分同じ状況になるんではないかと。
そして、作り直しということで言えば、実は一度まるごと作り直しをやっていて、そのおかげで時間が足りなくなったということもあります。
そして、この手の苦言は、僕だけに向けるよりもinfo@recommuni.jpに投げた方が効果があるかと。
んで、上の質問の1ですが、社としての方針は今後決まると思います(つまり障害情報、不具合情報をどこまで公開するかはまだ決まってません)が、個人的には全部公開すべきだと思っています。
2は、タイミングによって微妙に答えが変わります。脆弱性が問題になる部分を集中管理して、リスクを下げる設計にはなってて、要所要所でチェックをしてるんですが、肝心な部分の仕様変更がコスメティックな理由によって行われたりした結果、昨日のような局所的祭りが起こりました。
いずれにしても知らせていただいた方には感謝しています。今後ともよろしくお願いします。<(_ _)>
いや、まじめに考えれば、サイトデザインの変更という理由で仕様が変わったので、コーディングをやり直した結果、正式稼働初日にXSS満載なサイトを公開する羽目になったということらしい。
