自治体の脆弱話

根本的に間違っています。知識ないですか。 LANがインターネットに接続された時点で、あらゆるテストをクリアしても安全とはいえない、というのが正しい。現時点で発見できないような問題があるから、毎日のようにソフトを更新してくれとメーカーが騒いでいる、というのが分からんのか。

以上、フィンローダさんの今日の戯言 2003-08-08 より

御意。で、これでちゃんとパッチが当てられれば良いのですが、何故だか当てられなかったりすることがありますね。ちょうど一年くらい前、ある組織の標準ブラウザが Netscape4.6 で、公開のラウンジスペースでもバッチリ Netscape4.6 が動作していたという光景を見ましたが、夢かと思いました。

※今はどうなのか分かりませんが。ちなみに、高木さんの Brown orifice デモ (java-house.jp)もちゃんと動作しました。

もっとも、個人的には、漏れるとしたら Web アプリケーション経由のような気がしています。自治体の Web アプリケーションが脆弱という話は山梨評論さん (www.geocities.co.jp)のところにいくつか出ていたりしますが、やはり思った通りの状況のようで。

※そういえば、町田市のフォーム (www.city.machida.tokyo.jp)にあった XSS は「いつの間にか」直ってますね。例によって報告者には連絡がないようですし、特に告知もされていないようですけれど、対応されたのは幸いです。