カカクメソッド by はてな

• クラックされた瞬間のある時間軸内において「過失のない十二分なセキュリティが行われていた」と公言する
• サイトは一時期閉鎖、適当なタイミングでの再開を行う
• クラック手法に対する詳細は一切報道しない

大手サイトの「４つのやりません宣言」 by NetSecurity

• 過失は認めません
• サイトを見てウイルス感染した被害者へは補償しません
• サイトからメールアドレスを漏洩してしまった被害者へは補償しません
• 原因については公表しません

　笑えます。

　カカクコムは「最高のセキュリティ」などと言ってしまった手前恥ずかしいのか公表していませんが、今回の騒動の原因はSQLインジェクションにあるとかないとか。Ozmallは公表したようなので、まだ良心があったということでしょうか。カカクコムの姿勢が悪しき前例になったのかと思いましたが少し安心しました。

　誰もが感じてると思いますが、フォームから渡される内容は信用できないものとしてサニタイズするのはものすごく初歩的な事で、セキュリティ以前の問題ですよね。上場企業でもホントにこんな程度なんでしょうか？にわかに信じられません。「最高のセキュリティ」というのは何を持ってそう言い切ったのかも気になります。Firewallガチガチでも、SQLインジェクションやクロスサイトスクリプティングの前には無力ですからスクリプターの人は注意しなければなりません。

　…自戒を込めて。