アカウント名:
パスワード:
IPA の FAQ に 「匿名もしくはハンドルネームで届出をしてもいいですか? [ipa.go.jp]」 が用意されていますが、「きまりですから」以上の情報はありませんね。
「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) [meti.go.jp] を見ると、
1.発見者基準 (中略) (3)違法な方法により脆弱性関連情報を発見又は取得しないこと。 (4)発見者は、当該脆弱性情報が受付機関及び調整機関から公表されるまでの間、当該脆弱性関連情報を第三者に漏えいしないよう適切に管理すること。ただし、当該脆弱性関連情報を正当な理由により第三者に開示する場合、あらかじめ受付機関に問い合わせをすること。
とあります。実際にそのような問題が発生した場合に備える意味でも実名と連絡先を必須とした、んじゃないのかなあと個人的には思います。
悪意のない人には 無用の負担となるようなルール
全然、負担じゃないんですけど?(悪意ないんでね。)
今回は、脆弱性を持った機関そのものに対して レポートしないといけないわけで 自分の情報流出の危険を考えると名乗りたくない気持ちはよく分かります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
酷い奴だな (スコア:5, すばらしい洞察)
と書いてあるけど、サンプルは
>HTTP/1.1 200 OK
>Date: Mon, 06 Aug 2007 21:55:50 GMT
>Server: Apache
>Last-Modified: Sat, 04 Aug 2007 14:04:03 GMT
>ETag: "728045-88-46b48753"
>Accept-Ranges: bytes
>Content-Length: 136
>Proxy-Connection: close
>Connection: close
>Content-Type: text/html
>
><!--
> Easy IE Crash by Hamachiya2 (http://hamachiya.com/junk/ie_crash.html)
>-->
>
><sty
Re:酷い奴だな (スコア:2, 興味深い)
たまに対応のいいメーカもあるけどさ。
何度か遭遇したいやな回答
・そのような報告例はありませんので、おっしゃられているような脆弱性は存在しません
って、今報告してるんですけど...
・保守契約を結んでいるユーザからしか質問は受け付けません
って、質問じゃなくて報告なんですけど...
・対応環境以外の質問は一切受け付けません
だから質問じゃなくて報告なんですけど...
報告している部分も、環境依存じゃないのに...
・今後の製品改善のために云々
ただテンプレの自動返信じゃ?
IPAがその辺の窓口になってくれるものだと思っていたのに、
そもそも脆弱性の報告ってなんで匿名じゃだめなの?
脆弱性の報告と匿名 (スコア:2, 参考になる)
IPA の FAQ に 「匿名もしくはハンドルネームで届出をしてもいいですか? [ipa.go.jp]」 が用意されていますが、「きまりですから」以上の情報はありませんね。
「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) [meti.go.jp] を見ると、
とあります。実際にそのような問題が発生した場合に備える意味でも実名と連絡先を必須とした、んじゃないのかなあと個人的には思います。
Re:酷い奴だな (スコア:1)
「再現が難しい/調査に時間が掛かる/調査が大がかりになる」
場合などに割くリソースが無いってのが理由でしょうか??
馬鹿正直にリソースかけて調査すると言う企業だった場合、
私が競合企業に居たら、匿名で有ること無いことバンバン報告あげて疲弊させます(をぃ
と、匿名だったらこんな事する奴(愉快犯とか言われる人達かな)いるかも知れないので
匿名では受け付けないって事を決めているのかもしれませんね。
※過去にそんなケースがあったのかも??
Re:酷い奴だな (スコア:0)
> 匿名では受け付けないって事を決めているのかもしれませんね。
身分証を提示するわけでもない "自称本名" なんていくらでも偽装できますから、
妨害工作する気なら匿名不可にしたって意味ありません。
はまちゃん自身がIPAとのやりとりの顛末を書いてますが、
この手の報告で報告者の敷居を上げることは、
メリットよりもデメリットの方が大きいと思います。
http://d.hatena.ne.jp/Hamachiya2/20070203/ipa4 [hatena.ne.jp]
Re:酷い奴だな (スコア:1)
> この手の報告で報告者の敷居を上げることは、
> メリットよりもデメリットの方が大きいと思います。
そう?
実名を名乗れない誰かさんは相手にしない。ってのはメリットになるよ。
Re:酷い奴だな (スコア:0)
「法律を守らない奴がいるからルール作ったって無駄」
そういう発想の人には「メリット」が見えないのでしょう。
>メリットよりもデメリットの方が大きいと思います。
Re:酷い奴だな (スコア:0)
?
そんなことは言ってませんよ。
悪意のある人には簡単に回避でき、悪意のない人には
無用の負担となるようなルールは無駄だと言っています。
CCCDと一緒。
Re:酷い奴だな (スコア:0)
Re:酷い奴だな (スコア:0)
負担に思わない人もいれば思う人もいるんでしょう。
よく分からん街頭アンケートに住所氏名電話番号その他書いちゃう人も世の中にはいるわけですし。
Re:酷い奴だな (スコア:0)
> よく分からん街頭アンケートに住所氏名電話番号その他書いちゃう人も世の中にはいるわけですし。
届出を街頭アンケート程度にしか思っていないのが問題。
脆弱なIPA様・・・ (スコア:0)
>そもそも脆弱性の報告ってなんで匿名じゃだめなの?
そうですよね。
特に今回は、脆弱性を持った機関そのものに対して
レポートしないといけないわけで
自分の情報流出の危険を考えると名乗りたくない気持ちはよく分かります。
Re:脆弱なIPA様・・・ (スコア:0)