そういえば、Web脆弱性のいかがでしたか系記事の乱造現象はその後どうなったのかな。
とても嘆かわしい状況です。特にセキュリティ会社の公開する記事がひどいです https://t.co/I4bmFvIviy
えっこれ個人ブログかと思ったらマカフィー公式なんですか。 https://t.co/KL98s3YJiB
https://t.co/OwaOzsq3Z5 #security クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る
ハア?😩https://t.co/wTM9XMNQNc
「クロスサイトスクリプティングの脆弱性は、企業などの組織のWebサイトが影響を受けるのではなく、利用者のWebブラウザ上で悪意あるスクリプトが実行される脆弱性です。」 pic.twitter.com/bHLSHj8H1A
対策も有害。13年ほど遅れている。 pic.twitter.com/YaGUbHDqBT
なぜこうも無理して解説コンテンツが作られているのか。それはセキュリティ用語でググったときトップに出てくるのを狙っているのだろう。つまり、怪しげな医療情報のSEO汚染と同じ波が脆弱性対策界隈にも押し寄せているわけだ。クロスサイトスクリプティングでググったトップはあのトレンドマイクロ。 pic.twitter.com/QfQEQEhRwj
そしてそのトレンドマイクロの解説は?と見に行ってみると、案の定の出鱈目だ。クロスサイトスクリプティングに「不正プログラムの感染」なんぞ関係ない。https://t.co/ItXcioB6tl pic.twitter.com/URWtJBV61p
脆弱性を排除する方法は結局何も説明していない。自社製品を売るための誘導でしかない。https://t.co/Lhv73Le0mf pic.twitter.com/2VpVNu80ON
これに対抗するには、IPAが「安全なWebサイトの作り方」の章ごとに分割したHTMLコンテンツを作成して、SEO対策をがっつりやることだな。(医療情報汚染の事案と同じだ。)
セキュリティ界隈も WELQ みたいになってる。病気も脆弱性も「不安な人は○○を買えば大丈夫」みたいな商売が成立しやすいのかも。
どうして医者が WELQ を放置してたか疑問だったのだけど、いざ自分の身に降りかかると、フロントエンドは専門外と言って放置したい気分にもなる。
セキュリティ界隈が WELQ 化している件、IPA が『安全なウェブサイトの作り方』の内容そのままに各トピックごとの個別の HTML ページ作ればいいだけな気がしてきた。予算がないとしても、ボランティアとか。
あるいは、改変しなければ各社自由に使っていいことにするとか、やりようはあると思う。
今現在、クロスサイトスクリプティングで検索したトップ(それどころかGoogleが特別に推奨している「強調スニペット」の枠)がサイバーセキュリティクラウドとかいう会社の「攻撃診断くん」とかいうWAF製品の販売業者の出鱈目解説。格納型のことしかわかってないやろ書いたやつ。 pic.twitter.com/WbLVxDgv4G
まだ「サニタイジング」言ってるの?てのも化石級だが、「しかし、この手法はスクリプトの実行を阻止しているだけで、結果としては攻撃者からの攻撃をかわしているだけです。さらにこの攻撃自体を……WAFが必要となります」と尻尾を出した。騙くらかしてWAF売りたいだけやろ。https://t.co/jAXxgELID4 pic.twitter.com/8VRKPQPz3G