Re:まず脆弱性の評価基準の合意が必要 (#493047) | 脆弱性をなくすために、サイト管理者は何をなすべきか？

「脆弱性をなくすために、サイト管理者は何をなすべきか？」記事へのコメント

記事ページを表示すべてのコメント取得

検索140コメント Log In/Create an Account

まず脆弱性の評価基準の合意が必要 (スコア:0)

by Anonymous Coward

脆弱性（というか危険度）についての評価基準が、まず必要ではないかと思います。
危険度が低い脆弱性なら、対処はゆっくりでも良いでしょうし、
危険度が極めて高い脆弱性なら、サイトの一時停止も止むを得ないでしょう。

で、そういう評価基準って、存在するんでしょうか？
こういうのは公的機関で制定してくれたほうが良いと思うんですけど……

※ちなみに、こんな感じでどーだ。
レベル０（安全）：現時点
- Re:まず脆弱性の評価基準の合意が必要 (スコア:3, 参考になる)
  
  by alp (1425)
  
  そういう技術的レベルの話ではないでしょう。そもそも脆弱性を報告するというのは報告者と非報告者との間の信頼関係が成り立っていて初めて成立する話で、今回の件は日本ではそういう信頼関係などというのは幻想にすぎないと言うことをはっきりと浮き彫りにした訳です。脆弱性を指摘した人を恫喝する組織は、例えば首相官邸とか、これまでにもあった訳ですし、そも
  - Re:まず脆弱性の評価基準の合意が必要 (スコア:0)
    
    by Anonymous Coward
    
    技術レベルでの話ではぜんぜん無くて、危険度をどう位置付けするか、という話なのですが。
    危険度の位置付けについて合意が取れてないと、
    脆弱性を指摘する側／された側で、対応の必要性の認識が食い違ってくる可能性が高いと思います。
    
    例）
    脆弱性発見者：
    「あなたのサイトには、かくかくしかじかの脆弱性があります。
    　非常に危険なので、１週間以内に対応されなかった場合、一般公開します」
    
    サイト運営者：
    「はあ？こんなのたいした問題じゃないでしょ？
    　１週間で対応しなか
    - Re:まず脆弱性の評価基準の合意が必要 (スコア:1)
      
      by zasha (14341)
      
      ＞で、そういう基準については、サイト運営者などがそれぞれ勝手に決めるのではなく、
      ＞（少なくとも日本国内では）一般的に通用する基準があったほうが、話を進めやすいだろう、ということです。
      
      企業体などの集団を動かすのは、国家や国際機関など（後者が望ましい）公的に認識された存在が、啓蒙や規則や罰則を行使する必要があると思いますね。
      （個人または一般の企業が警告する場合、利害の発生有無に関わらず業務妨害（威力業務妨害）として捉えられる可能性があります）
      
      で、そういう認定機関が規則や罰則のレベルを設ける、と。
      ここで言うレベルってのは自動車運転
      
      --
      ---- 何ぃ！ザシャー
      - Re:まず脆弱性の評価基準の合意が必要 (スコア:1)
        
        by zasha (14341) on 2004年02月10日 17時10分 (#493047) ホームページ日記
        
        補足で。
        「ACCSがあるじゃない」と言うのは正直却下したいです。
        現状ではACCSがその役割を果たせていない（と思われる）ので挙げているわけなので:P
        
        --
        ---- 何ぃ！ザシャー
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

脆弱性をなくすために、サイト管理者は何をなすべきか？ More ログイン

「脆弱性をなくすために、サイト管理者は何をなすべきか？」記事へのコメント

まず脆弱性の評価基準の合意が必要 (スコア:0)

Re:まず脆弱性の評価基準の合意が必要 (スコア:3, 参考になる)

Re:まず脆弱性の評価基準の合意が必要 (スコア:0)

Re:まず脆弱性の評価基準の合意が必要 (スコア:1)

Re:まず脆弱性の評価基準の合意が必要 (スコア:1)

スラド