アカウント名:
パスワード:
github、Twitter、ブログみると主に組み込み系のセキュリティエンジニアみたい。最近脆弱性報告しても握りつぶされるから無回答の場合情報を公開するっていう対抗策かね。
決定権持ってる層がリスクを正しく判断評価できないっていう7と同じ構造の問題。
最近? むしろ企業が脆弱性報告を握り潰すってのは古典的な話で、それに憤ったセキュリティエンジニアが情報公開してゼロデイ脆弱性になることを防ぐために、各国のCERTがあるわけで。
今はSNS使うんだよ。
white hatがヤバい脆弱性見つけた場合、公開するとまずいから直接コンタクトを取るんだけどゼロ回答を見越して期限付きで公開するのは海外では良くあることで単に企業側が対応を間違えただけ。
この人のtwitter読んでいくとずっと企業側の動向見て行動してるけど、これがセキュリティエンジニアとかリサーチャーの良くある行動パターン。企業側の反応も織り込み済みで行動してるから企業はダメージコントロール(火消し)に失敗して最終的に対応することになったのよ。
エンドユーザーはバグ報告してもここまでしないでしょ。JPCERT/CCのJVNも基本DB作るだけで対応は開発者じゃん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
Lance R. Vickは (スコア:0)
github、Twitter、ブログみると主に組み込み系のセキュリティエンジニアみたい。
最近脆弱性報告しても握りつぶされるから無回答の場合情報を公開するっていう対抗策かね。
決定権持ってる層がリスクを正しく判断評価できないっていう7と同じ構造の問題。
Re: (スコア:0)
最近? むしろ企業が脆弱性報告を握り潰すってのは古典的な話で、それに憤ったセキュリティエンジニアが情報公開してゼロデイ脆弱性になることを防ぐために、各国のCERTがあるわけで。
Re: (スコア:0)
今はSNS使うんだよ。
white hatがヤバい脆弱性見つけた場合、公開するとまずいから直接コンタクトを取るんだけど
ゼロ回答を見越して期限付きで公開するのは海外では良くあることで単に企業側が対応を間違えただけ。
この人のtwitter読んでいくとずっと企業側の動向見て行動してるけど、
これがセキュリティエンジニアとかリサーチャーの良くある行動パターン。
企業側の反応も織り込み済みで行動してるから企業はダメージコントロール(火消し)に失敗して最終的に対応することになったのよ。
エンドユーザーはバグ報告してもここまでしないでしょ。JPCERT/CCのJVNも基本DB作るだけで対応は開発者じゃん。