アカウント名:
パスワード:
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
やはり脆弱性情報は対象企業・団体と調整の上で公開すべ
Re:期限つきFull Disclosureは危険なのか? (スコア:2, 興味深い)
期限は、対策までの期限でもあるけど、
返事をもらうまでの期限でもありますよね。
「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
という返事がくれば、第1段階はクリアですよね。
Re:期限つきFull Disclosureは危険なのか? (スコア:3, すばらしい洞察)
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
きちんとした説明ができているQが如何に多くないか、という現実を
無視してサイト側だけの義務を重くするのはバランス
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
事前にわかってれば助かるというのは十分理解できますが。
>無視してサイト側だけの
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
これをいっちゃあお終いだと思うけど。
これへの返しは、サイトは返答義務が無くなるということです。
返答を義務づけるのなら、それ相応の報告をせよというだけのこと。
意味不明だったり非現実的な報告され
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
「もっと詳しく教えてくんない?」ってメールを返すのじゃだめ?
お互いに義務は無いかもしれないけど、良いサイクルに持っていくには
サイト側が歩み寄った方が良いと思いますよ。大した手間じゃなければですが。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
だめ。
最初の報告が手抜きなお方は、その後も建設的な話し合いが
できる可能性はかなり低いので。
聞く耳持たない、日本語が通じない、を実感できますね。
#実感したくはないが。(嫌