アカウント名:
パスワード:
そこまで自信があるなら是非、ハッキングコンテストなり、検証付き脆弱性募集なりをやってもらいたいです。
それも開発形態がオープンになっていないと、何とでも言い訳して逃げられてしまうんですよね・・
ずっと昔のことなのですが、とある商用ソフトウェアで脆弱性に対して懸賞金をかけていたプロジェクトがあって、きちんと再現手順までまとめて報告しても、「それは弊社内で既知の問題として報告されているので無効」「DOS(サービス拒否)攻撃は脆弱性ではない(??)ので無効」「それは運用で回避可能なので無効(ただし実際にはサービスを停止する以外の回避策はなかった)」などと言って懸賞金の支払いを渋りまくっていました。
何度もやりとりしていると、その会社の弁護士を名乗る方から「恐喝として通報する」と脅されてしまいましたので、それ以降はやめておきましたが、オープンソースでないとしたら、こういった隠蔽に対する対策を公表していただきたいものです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
そこまで自信があるなら脆弱性発見に懸賞を是非 (スコア:0)
そこまで自信があるなら是非、ハッキングコンテストなり、検証付き脆弱性募集なりをやってもらいたいです。
Re:そこまで自信があるなら脆弱性発見に懸賞を是非 (スコア:2, 興味深い)
それも開発形態がオープンになっていないと、何とでも言い訳して逃げられてしまうんですよね・・
ずっと昔のことなのですが、とある商用ソフトウェアで脆弱性に対して懸賞金をかけていたプロジェクトがあって、
きちんと再現手順までまとめて報告しても、
「それは弊社内で既知の問題として報告されているので無効」
「DOS(サービス拒否)攻撃は脆弱性ではない(??)ので無効」
「それは運用で回避可能なので無効(ただし実際にはサービスを停止する以外の回避策はなかった)」
などと言って懸賞金の支払いを渋りまくっていました。
何度もやりとりしていると、その会社の弁護士を名乗る方から「恐喝として通報する」と脅されてしまいましたので、
それ以降はやめておきましたが、オープンソースでないとしたら、こういった隠蔽に対する対策を公表していただきたいものです。