アカウント名:
パスワード:
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な
対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
やはり脆弱性情報は対象企業・団体と調整の上で公開すべ
Re:期限つきFull Disclosureは危険なのか? (スコア:2, 興味深い)
期限は、対策までの期限でもあるけど、
返事をもらうまでの期限でもありますよね。
「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
という返事がくれば、第1段階はクリアですよね。
Re:期限つきFull Disclosureは危険なのか? (スコア:3, すばらしい洞察)
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
きちんとした説明ができているQが如何に多くないか、という現実を
無視してサイト側だけの義務を重くするのはバランス
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
事前にわかってれば助かるというのは十分理解できますが。
>無視してサイト側だけの
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
> と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
> 報告者はそれに協力してるだけですよ。
> 別に問題点を報告する義務なんてないのに。
対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
実質的に「このOSのどこかに脆弱性がある」と言っているのと変わらない情報しかなかったとすれば、期限を切られても対応できないでしょう。
あれ、そんな情報、discloseされても誰も困らないか。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
そういうのに限って晒す情報はこと細かく書いてあったり。(嫌
気分次第ってのは始末に悪い、というケースはサポ担当なら
経験多いことだと思う。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
なんだか、お役所みたいなことになりそうな予感。
「あ、ここの項目間違えてますよ。書き直して下さい。」
とか。
#そして対応が遅れる、と。