いまさらだけど、これって普通に考えてなかなかヤバそうな機能ですね。 ASCII.jp:File APIでブラウザーからローカルファイルを操作 (1/5)|古籏一浩のJavaScriptラボ W3Cのドラフト見ると、 File API ヤバそうなファイル操作があったら、ユーザーエージェント側でセキュリティエラーにしろ、とか書いてありますね。そこがバグってないことを祈る、って感じなんですかね。
いまさらだけど、これって普通に考えてなかなかヤバそうな機能ですね。 ASCII.jp:File APIでブラウザーからローカルファイルを操作 (1/5)|古籏一浩のJavaScriptラボ W3Cのドラフト見ると、 File API ヤバそうなファイル操作があったら、ユーザーエージェント側でセキュリティエラーにしろ、とか書いてありますね。そこがバグってないことを祈る、って感じなんですかね。
IPAの脆弱性届出制度のことが書かれていると聞いて。 XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会 脊髄反射的反応で言えば、IPA以外の選択肢を推奨する理由が弱いんじゃないの、と思うなあ。 そもそも「IPA経由は遅い」って本当に遅いのかな?というか、遅いとか速いとかってそれは相手に依る、としか言いようが無いんじゃないかな。絶賛放置プレイ300日オーバーなところもあれば、即日対応なところもあるわけだしね。大きなくくりで言えば90日以内の修正完了はIPAのところに来ているので言えば平均72%だし、当日修正ってのもけっこうある(http://www.ipa.go.jp/security/vuln/report/vuln2009q4.htmlに概要報告、さらに詳しくは、http://www.ipa.go.jp/security/vuln/report/documents
「セキュリティ対策、大丈夫ですか?」 「間に合ってるよ」 「おたくのWebサイト、脆弱性あるみたいなんですが、大丈夫ですか?」 「間に合ってる」 ・・・と り つ く 島 も な い ヽ(´ー`)ノ とりあえず実例。 本件について、届出頂いた 3月 10日からウェブサイト運営者に対し連絡 を開始いたしました。しかし問合せフォームへ連絡しても返事が頂けず、 また電話を掛けても担当者不在との事で、逆に 6 度目の電話連絡の際に は「間に合っている」と言われました。 そこで、私どもの取組みの背景や、今回の届出に関する発見者の説明 (一般者や研究者からの善意の届出であると伝えました)、問題の内容 や可能性のある脅威などを、分かりやすくお伝えしましたが、残念なが らご理解を頂けず、本問題への対応は実施しないとの回答を受けました。 私どもでは、これ以上本ウェブサイト運営者が対応して頂けないものと 判断
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く