例のサイゼイヤをIPAに通報した

IPA通報代行、始めます。脆弱性っぽいものを見つけたけど、報告書を書くのも窓口対応も面倒な方向け。内容整理、届出文作成、IPA提出、追加確認対応まで代行します。まずはDMへ。 まず、サイゼリヤの「安さを徹底追求する」企業努力にはとても感謝しています。 だからこそ、この高校生（自称）の行為は、醤油ぺろぺろテロ行為と何ら変わりがないことを言いたいです。 彼がやったことは「やりすぎ」「法に触れる可能性」 彼がもし、本当にエンジニアとしてデベロッパーとしてクリエイターとして、将来を担っていきたいのであれば、サイゼリアのコードを解析した結果、容易に非公開APIを通じて、サイゼリヤのサーバーに到達する可能性があることを、まずIPAに報告すべきでした。 本件の問題は、 セキュリティホールを発見したことではなく、その後、その脆弱性を利用したことです。その時点でアウトですから、それをさらにOSSとして公開し

[raitu]

脆弱性が解決する前にこの記事を上げてる時点で当該高校生とやってること変わらんどころか、ぼかしアリとはいえ脆弱性解説までしてるのでより悪質では

[altar]

いわゆるホワイトハッカーを悪いハッカーと区別するラインは脆弱性を見つけたときに情報提供して修正後に公開する作法に則っているか(=社会的な有害性に配慮できるか)なわけでまあ当然。

[zetamatta]

〇 「IPA に通報した」× 「サイゼリヤ株式会社への直接連絡は現時点では未実施」、それで、なぜ zenn.dev で解説記事を公開してよいと思ったのか？

[m50747]

サイゼイヤ側が何か修正を加えるまでは解説記事の公開は控えた方がいいと思った。

[kjkw]

これにダメだしするのがイノベーションの阻害とか、臍が茶を沸かす

[err931]

Xの反応見ていたら、立派な肩書きを持つ大手企業にお勤めのシニアエンジニア（笑）が多数擁護していて、そりゃわーくにも落ちぶれますわと。この件が警察沙汰になったら手のひらクルーするんだろうな。

[bfoj]

若者を持ち上げるのが良いおじさんムーブは正しくない

[Angelfish3578]

誰も言及してないけど、一番怖いのはAIでこういうのが簡単にできるようになったってことだと思う

[yoshi-na]

いやいやIPAに報告したならその脆弱性を詳らかにするなよ

[Bioegg]

IPAは一般にも知られるようにする必要があるなぁ。

[tohokuaiki]

ひろみちゅ先生により本件はノーカウントでフィニッシュです！「Hiromitsu Takagi 私からIPAに本件は対象外である旨を伝えておいた。」https://x.com/HiromitsuTakagi/status/2053395658045055011

[ys0000]

IPAから情報提供に関する守秘の話はなかったかね。一定期間は相手が直すために時間を置くのが一般的であろう／記事が読めないので何が起きたか把握してないが高木浩光氏がツイートで対象外であるとの見解を出してた。

[maturi]

サイゼリア　ザイセリヤ　サイゼイヤ

[ostchanman]

https://togetter.com/li/2693192 「高2」https://x.com/nakasyou0 この記事執筆者も含むが「子どもだから大目に見ろ」は第二の酒鬼薔薇聖斗を生むだけ。まず倫理教育を。

[anomieanomie]

記事の筆者のコメントで、サイゼの今の仕様をしてる理由が「予算がないから」みたいな書いてあってサイゼ舐め腐ってるのだけはわかった

[sionsou]

まぁ双方に色々言いたいことはあるけど、とりあえず結果待ち。

[winter123412]

zennの仕様わからないけどコメントがめっちゃ非表示にされててなんかおもろい

[sekreto]

はまちちゃんがこういうのやらなくなってから久しいな

[necoconeco1976]

自分の代行業の宣伝かな？

[katono]

通報の是非はともかく、自らが正しいと思っているのなら、隠れてないで素性を明かして記事を書いたら良いのでは？

[WDFf2]

というか、例のzeenの例の記事書いた人の今の状況やばくね？もう今から何しても意味ないだろうけど

[hanajibuu]

いきなり罪人にするのではなく、技術を褒めて正しい道を教えてやれよ。まだ子供だぞ。

[gzkst]

OSS側は別所で指摘された内容を受け問題箇所を即日中に修正。通報側は批判され脆弱性部分を黒塗りにして虫食いパズル化しただけで人格攻撃を含めた内容のまま公開中。技術云々以前に人間性すら負けていると言える。

[GamingSoboroDon]

あらためて記事見たら■ばかりのSCPみたいになってて面白かった/いつのまにか消えてた

[xenon_abe]

結果がevilで無いうちはほっとけよこんなもん。この世のすべてにコストをかけるわけにもいかんだろ

[iwanofsky]

優秀かもしらんが、どや記事は好かん

[ee83jaige]

IPAをはじめとした脆弱性報告窓口にはAIで作ったこういう感じのが毎日何万と来るのか。そりゃ回らんわな。

[hogeaegxa]

ところで左翼の間で我が国をわーくにって言うの流行ってるの？

[cutplaza]

“Hidden comment” まで読んで、よく分かんないけどこれは危ないから気をつけようと思った

[vbcom]

わーくにはこういうキチガイガキを放置せずにちゃんと潰してきた。そのお陰で30年の衰退があるのです。小泉竹中が作ってくれた滅亡への道筋をこんなガキに潰させてはならない。

[djsouchou]

後学の為に https://x.gd/N4poS （誰でも見れます）/筆者もバッドケースの比較対象がズレてんな、って印象。そこは『球根栽培法』や『腹腹時計』やろがい/何か一部伏字にしてて草。ドーパミン切れたんだろうな

[ebibibi]

この記事も酷いし、はてぶのコメントも酷いの多いし。時代が変わったのだなあと思わせられる。

[NEXTAltair]

これしか記事書いてないやつ

[t-murachi]

サイゼの注文システムはコスト抑えるために色んなものを端折って出来上がってるものだからね(´・ω・`) 固定のQR(=URL)でテーブルとセッションを同定してる時点でセキュリティも何もない。対策にかける予算ないのでは?

[hetarechiraura]

素人から見たら同人界隈の学級会と区別付かんくらい語気の強い連中がセキュリティがらみの話題になると多くなるイメージ。「正論だったら粗野になって良い、むしろ格好いい」と思ってないか？

[zbun6ugf9t]

承認欲求モンスターVS承認欲求モンスター

[arjen__robben]

「これに同調する雰囲気のはてブコメント欄を見て絶句した」これがどういう話か理解してないバカは絶句とか言わず黙っとけよ

[dmr]

あれ？IPAってもう申請しないで公式に直接言えスタンスじゃなかったけ。

[shoechang]

サイゼリヤが対応する前に公表することの意味は。こういった緊急対応を強いられるとコストはサイゼリヤユーザーに返るのがな。

[naari_3]

これに同調する雰囲気のはてブコメント欄を見て絶句した / 記事のコメント欄で議論をはてブに寄せようとしてるのも本当に意味不明、こんなところで議論できるわけないじゃん……