2004年10月アーカイブ

あるオンラインサービスを利用していてWebサイトの脆弱性に気が付いてしまった。

脆弱性の指摘は、かなりナーバスになる問題なのだけれど、サイトにTRUSTeのバナーが貼ってあり、「プライバシーポリシー」にそのあたりの表記もあったので、報告してみた。

以下、その内容。

--(ここから)
・・・さま
いつもお世話になっております。

・・・・・・ のプライバシーポリシーのページ
(https://・・・.・・.・・/・・・・)

TRUSTe-JAPAN の WatchDogプログラムのぺージ
(https://secure01.hs.kddi.ne.jp/truste-jp.org/page016.html)

を拝見し、ご報告させていただこうと思いました。内容ご確認の上、ご対応宜しくお願いいたします。

【問題点】
・・・・・ページにおける・・・・・・・・の問題

サーバーにおいて・・・・・・・・・・に・・・・・の問題(参照先http://・・・・.・・.・・)を見つけましたのでご報告します。

【原因】
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・のため。

【プライバシーに関わる懸念事項】
実際に当社も御社のサービスを利用させていただいておりますが、・・・・・・・・・・・・・・があります。

・・・・・・・・・・・・・・・ので、攻撃対象は非常に容易にリストアップできること
・・・・・・・さえできれば、・・・・・・のプライバシー情報にアクセスできること
・攻撃のためのコーディングは容易に行えること

などから、早急な修正を行っていただけるようお願いいたします。

【修正対応について】
・サイト上での脆弱性、修正内容の公開などを求めるものではありません。
・修正されましたら、念のためご報告いただけると幸いです。
・当社も御社サービスの利用者です。より安心して使えるサービスの実現を望みます。

尚、この問題は、・・・・・・・・・・・・・・・・・・・・を拝見していた際に、インデックスページが無いかと思い(http://・・・.・・・.・・/)へアクセスを試みた時にたまたま見つけたものです。サイト上のその他の箇所について、問題が無いかどうかをチェックしたわけではありませんのでその点はご了承ください。

今後とも良いサービスのご提供を期待しております。

--(ここまで)

結果だが、24時間以内に問題は修正された。
メールで修正報告もいただいた。

今回問題点を伝えようと思ったのは、

・自分がそのサービスの有料での利用者であること
・TRUSTe-JAPAN のバナーと説明がサイトにあったこと

の2点がポイント。

つまり気持ちの上では「TRUSTe-JAPAN 」の効果に期待したのだ。
少なくともユーザーの立場で問題点の指摘はできる、と読み取れる。

ただしTRUSTeの「認定サイト」に脆弱性が放置されている、という事実は残るが。

見つけた脆弱性のうちの一つは、そのサイトが使っているASPサービスの問題だった。その外部ASP会社もまたTRUSTe-JAPANマークを取得している。

このあたりが問題なのだが。

10/19(火) 大阪市住之江区南港ATCで研究会を開催します。

9/29に大阪市立大学文化交流センターで行った研究会ですが、台風のため来られなかったあるいは途中で帰られた方がいらっしゃったため、場所を変えて再度同じ内容で行うこととなりました。
場所、時間が変更になっていますが、内容は同じです。

※9/29に参加申し込みをしておられなかった方も参加いただけます。

開催概要

名称
第2回ACRI研究会 (補講)「Webアクセシビリティの一歩先へ」
http://www.acri.jp/workshop/to-one-step-beyond-supplementary
日時
2004年10月19日(火曜日) 18時45分〜21時45分
会場
アジア太平洋トレードセンター ITM棟 10階
大阪デザイン振興プラザ 交流サロン
〒559-0034 大阪市住之江区南港北2-1-10 ATCビル ITM棟10階
電話:06-6615-5611、FAX:06-6615-5625
周辺地図
hhttp://alfasado.net/contents/company_profile.html#map
会場へのアクセス
  • [地下鉄・ニュートラム利用の場合]
    梅田・本町・心斎橋・なんば方面から
    →地下鉄中央線本町からコスモスクエア経由で約17分
    地下鉄四つ橋線住之江公園から
    →ニュートラム・OTSニュートラムテクノポート線経由で約16分
  • [JR利用の場合]
    →大阪・天王寺方面から環状線「弁天町」駅から地下鉄中央線に乗り換えコスモスクエア経由で約15分「トレードセンター前」駅下車すぐ
参加費
1,000円

プログラム

  1. 受付開始 (18時30分より)
    大阪デザイン振興プラザ 交流サロン 入り口にて
  2. イントロダクション
    持田 徹 (ACRI 代表)
    ACRIプロジェクトの最新状況や、今回の研究会のプログラム概説をお話します。
  3. WCAG2.0草案を読む
    野田 純生 ( アルファサード有限会社 代表 )
    WCAG2.0草案の翻訳を読みながら、WCAG1.0との違い、WCAG2.0の方向性について説明します。
  4. 休憩 (19時25分より)
  5. プロップステーション,ネットワーク管理者養成講座と障害分野別の問題点
    柳原秀基 ( 大阪市立大学大学院創造都市研究科都市情報学専攻 情報基盤研究分野 )
    プロップステーションのネットワーク管理者養成講座での講師経験を通して分かった、障害分野別の問題点についてお話しします。
  6. ACRIサブプロジェクトの紹介と今後の研究会予定
    持田 徹 (ACRI代表)
    以下の2つのサブプロジェクトのご紹介および、今後の研究会予定についてお話しします。
    • templateプロジェクトアクセシブルなWebサイト制作の工数削減を目指します
    • AAA(トリプルA)プロジェクトMozilla Firefoxをベースとしたフリーの音声ブラウザ開発を目指します

Facebook

Twitter

このアーカイブについて

このページには、2004年10月に書かれたブログ記事が新しい順に公開されています。

前のアーカイブは2004年9月です。

次のアーカイブは2004年11月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Powered by Movable Type 6.2.6