高木浩光＠自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった

■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、（アカウントを持つユーザからしか攻撃され得ないなどの）危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない（更新履歴やFAQには書いておくが積極的に知らせることをしない）という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール，情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 （1）は，細工が施されたリクエストを送信されると，公開を意図していないファイル（公開用フォルダに置いていないファイル）を表示してしまうセキュリティ・ホール（略） （2）は，Office 6に関するセキュリティ・ホール（略）。細工が施されたリクエストを送信されると，

[lowpowerschottky]

“「お客さま対応」窓口から問題点の指摘をした場合、指摘が判断能力のある部署に伝わらない”

[ockeghem]

「サイボウズはいったい何をやってるのか」とは、これのことかな?

[webmarksjp]

nネット

[nipotan]

ｼｭｯ ｼｭｯ

[venture]

やっぱりこの会社信用できないわ

[endo_5501]

サイボウズのセキュリティ関連の広報は駄目っぽい

[bonsens]

"弊社のセキュリティポリシーに沿って、脆弱性が見つかっても大きく取り上げて発表することはありません。"どんなポリシーだ

[jiwer5959]

サイボウズのセキュリティーポリシー

[rna]

サイボウズの奇妙な脆弱性告知ポリシーのおかげでクラッカーはサイボウズの更新履歴を頻繁にチェックすれば管理者を出し抜ける。

[HeavyFeather]

適切な情報公開を拒むサイボウズ。

[rig]

第三者から攻撃され得る脆弱性については告知しない（更新履歴やFAQには書いておくが積極的に知らせることをしない）という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという

[wildcats]

電凸すげぇ

[blackspring]

　「指摘が判断能力のある部署に伝わらないことがある。その場で矛盾のない回答をすることばかりに注力して、対応から変えなければならないような指摘に耳を傾けないということが起きがちのように思う」

[shidho]

かわいそうに。まあこれで話がかわればよし。

[I11]

電凸からわかったサイボーズ社のセキュリティポリシーそれ自体の脆弱性。お客様対応1.0の窓口で解決できない場合は「判断の権限のある方とお話させてください」と言うのがコツです。

[Seacolor]

Japaniseアンインストールするか……。

[solunaris149]

デスク○ッツ にしようかな。 Ajaxにも対応するらしいし。

[koutaki]

おそまつ

[inaok]

パッチが出てること自体気づいてなかった＞＜；あぶないあぶない。

[memoclip]

考えて全体の対策を行うこと

[blackdragon]

悪意のある人ほど細かいところまでチェックするはずなので、目立たないところにこそっと載せるってのは、周知すること・完全に隠すことのどちらよりはるかに危ない、最悪の対応ではないかと思うのだが。

[summercontrail]

"「お客さま対応」窓口から問題点の指摘をした場合、(略)判断能力のある部署に伝わらないことが""非技術系営業マンの判断がこうした事態を一時的に招いただけならよいものの、本当に社の方針になっているのなら、もう"

[hiby]

どこもこの程度なのかなあ。告知問題。

[ytesaki]

うちでもつかってるけど、微妙〜な気分。

[nirvash]

そのようなことはございません、まで読んだ。

[Tskk]

重要な脆弱性ほど公開しないサイボウズのセキュリティポリシー

[yosh0419]

個人からの指摘だからこのような堂々巡りになるのであって，お役所や特殊法人からのお叱りなら一発で襟を正すのだろうな．

[suVene]

セキュリティーポリシーは脆弱性をすぐに公開するか、パッチを当ててから公開するか、非公開にするかってのは昔から議論されている。ただ、更新履歴全部見ろってのは難しい気がｗ やらなきゃならんのだろうけど。

[wushi]

社会正義。しゃかいせいぎ

[fk_2000]

サポセンの人に共感。なんだか泣きながら対応しているように感じた。でも社会正義！