さくらから MT 脆弱性の alert が来た
遅い! 遅すぎるよ。もう火曜日だよ。なに考えてるんだ。意味がわからないよ。
6A から日本語のアナウンスが出たのが先月の4月9日(まぁこれに全く気づかなかった私もアレだけど)。んで,いよいよヤバくなって JPCERT/CC からの alert が来たのが先週の木曜日,5月15日だ。
つまり,どんなにのんびりしてても先週の金曜日には周知できるんだよ。そうすればユーザは週末を使って腰を据えて対処できるし,実際に被害があったかどうかも調べることができる。
それをなに? 週明けの火曜日,平日ど真ん中に alert なんか送りやがって。何様のつもりだ!
そんなことよりさくらにはもっと優先順位の高い仕事があるだろう。 Heart Bleed の報道からもう1ヶ月半以上経ってるんだよ。それをいまだにメールのひとつもよこしやがらねぇ。やる気あんのか,コラ! まさか放置してるんじゃないだろうな。
さくらインターネットがいかにユーザを軽視しているかということがこれではっきり分かった。これじゃあ クラウドの方も中でどうなってるか分かったもんじゃないな。
2014-05-21 追記:
結城浩さんにツッコミをいただいて「しくったか?」と思ったが,自宅にかえってメールを確認したら,これは全然ダメ。
2014年4月14日に来た「【重要】OpenSSL1.0.1に含まれる脆弱性について」というメールはユーザ環境に対して注意喚起を促すもので(見たら思い出した。確かに見たわ,このメール),自社のドメイン(sakura.ad.jp)が安全なのかどうなのかについてはひとっことも言及がない。現在に至るもだ。
しかもよく見たら,これもやっぱり JPCERT/CC の alert の翌週じゃない。前の週には Heartbleed で大惨事が起こってるってんで大騒ぎになってたのに,呑気過ぎる。
ちなみに sakura.ad.jp の証明書を見てみたら2010年発行になっていた。つまり Heartbleed に対して何もアクションを起こしていないということだ。これが怠慢によるものなのか,対象のバージョンを使ってないから問題無いということなのかは分からない。だって何のアナウンスもないんだもの。
ところで余談だけど,証明書を Firefox で見たときに「検証され信頼できる運営者情報はありません」って出るのなんだろうって思ってたけど,EVSSL (Extended Validation SSL)のことだったのね。分かりにくいなぁ。まぁ, EVSSL は「屋上屋を架す」みたいな感じでやり過ぎだと思ってたので,この項目はどうでもいいか。