ソニー製品カタログサイトの脆弱性(修正済み) 10
ストーリー by Oliver
あっという間に修正 部門より
あっという間に修正 部門より
ramsy曰く、"ソニー製品のカタログサイト にSQLクエリやCGI実行時の内部変数など内部情報が漏れる問題と、Cross Site Scripting 脆弱性がありました。前者を1/30の12:40頃に発見し、ついでに後者があるかどうか試してみると、案の定…
あわてて指摘の文章をまとめてお問い合わせ窓口に報告したところ、1/31の昼過ぎには対応が開始され、障害コンテンツが切り離されました。そして2/1の昼頃、対応が完了した旨、電話連絡がありました。「1/31 の昼からコンテンツがサーバメンテに入り、今朝4時頃対応を完了しました。ログを調査致しましたが、ご指摘頂いた脆弱性に関してはテストと思われるものしかありませんので、cookieの漏洩などの被害は確認できませんでした。」
確認すると、確かに二つとも解消されていました。非常に早い対応と言えると思います。人がやることですから、こういった問題は少なからず起こりうるもので、重要なのは報告を受けた際の対応です。過去の対応のまずさを教訓とした危機管理システムの構築がなされたのでしょうか?みなさんの身の回りではどうでしょうか。そう言った報告の対応準備、出来てます?"
あれ、、納品チェックシステムは? (スコア:1, 興味深い)
プログラムや設計にはそういうフローが無かったんすかね。
かなり前の話だったので廃止になったとか?
報告後は素晴らしい対応でしっかり危機管理できているのだなと思います。その場の対応も大事ですが再発防止に内部体制の見直しまで行けばいいのですが。
まぁ報告してもナシのつぶてのブルックスや、タコ過ぎる対応で脆弱性を残している楽天など杜撰な企業が多い中で立派な方だと思います。
Re:あれ、、納品チェックシステムは? (スコア:1, おもしろおかしい)
見た目のカッコ良さの基準ではないかと
(ソニー萌え)
Re:あれ、、納品チェックシステムは? (スコア:1, 興味深い)
アクセシビリティ、著作権表示、会社ロゴの位置など。
ただセキュリティ周りはそれに比べると遅れているのは明らかでしょう。ガイドラインのようなものがある会社はかなり限られる気がします。また、チェックも大変なので、納品検査でのチェックがどの程度働いているのか、微妙なんじゃないでしょうか。
# 関係者なのでACにさせてください
Re:あれ、、納品チェックシステムは? (スコア:1, 興味深い)
たぶんやってないんだろうな。
Re:あれ、、納品チェックシステムは? (スコア:1, 参考になる)
それって、(下請けが作った)SONYが販売する商品だけでなく、
これみたいにSONY自体が使ったりするものも含んでいるんですか?
SONYはお得意さまだけど、そんなチェックうけた事ありません。
#でもこの対応はすごい。
#危機管理=その場しのぎのウチの会社、切られるんじゃないか?
Re:あれ、、納品チェックシステムは? (スコア:0)
htmlの検査と、サーバプログラムの検査は別って事ではないでしょうか?
もしくは、単純にこれらの検査項目が抜けていた、とか。
#脆弱性?何それ?おいしいの?って上司ばかりなのでAC
ソニーカタログサイトの (スコア:0, 荒らし)
とりあえずご苦労様でした。
Re:ソニーカタログサイトの (スコア:2, 興味深い)
ウェブ修正では、メルコよりも遥かに立派な対応ですね。
私も購入製品のウェブはよく確認していますが、たまに間違いを
見つけます。
語句の間違いやカタログ型番のミスなど些細なものですが。
そのどれもがメールでの指摘の後、6時間経たない内に
返信があります。asahi.com、nikkei.co.jpなんかの誤字訂正より
遥かに対応は良いですよ。
まさに、中の人は大変です。
大変じゃない中の人はいないとは思いますが。(ネタにマジレス?)
Re:ソニーカタログサイトの (スコア:2, 興味深い)
タレコミには書き忘れましたが、16時には「至急調査します」と明らかに自動反応ではない文面でメールが返ってきました。
対応完了報告の電話も、SonyDrive担当の部長の方からで、「ご指摘ありがとうございました」でしたし。
# rm -rf ./.
Re:ソニーカタログサイトの (スコア:0)
>
新聞社と比べるのは間違いでしょう。
「一般大衆は自分たちより下」な人たちなのですから。
#メーカで比べても、いい対応だと思います>ソニーカタログサイト