アカウント名:
パスワード:
仕組みとしては、IPAが届け出を受け付け、公表とデータベース化を行い、JPCERT/CCが検証した上で開発者へ連絡する。
検証→開発者へ連絡よりも先に、情報を公表しちゃうの? 重大なセキュリティーホールだったりする場合、修正が確認されるよりも先に公表しちゃうのはマズくないですか?
いかん、最近ちゃんと調べてから書く癖がなくなってきている。気を付けなければ。。。
IPA のサイトによる 説明 [ipa.go.jp] において、脆弱性関連情報の取扱いプロセス [ipa.go.jp] がきちんと明示されています。これによると、届出の受理 → JPCERT/CC を通して開発者へ通知 → 脆弱性への対応 → 情報の公表、の順になっているようです。当たり前ですね (^_^; 。
でも、それよりも前に JPCERT/CC がコーディネートすると言っていること自体、過去の経緯を知る者に取ってみれば既に大失笑なんですけど。まぁ、一応お手並み拝見はしますけど、45日たって公開した報告者を笊なサイト管理者と一緒に非難する側に回る光景が目に見えるようです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
公表が先なの? (スコア:2, 参考になる)
検証→開発者へ連絡よりも先に、情報を公表しちゃうの? 重大なセキュリティーホールだったりする場合、修正が確認されるよりも先に公表しちゃうのはマズくないですか?
むらちより/あい/をこめて。
公表は後ですね (^_^; (スコア:5, 参考になる)
いかん、最近ちゃんと調べてから書く癖がなくなってきている。気を付けなければ。。。
IPA のサイトによる 説明 [ipa.go.jp] において、脆弱性関連情報の取扱いプロセス [ipa.go.jp] がきちんと明示されています。これによると、届出の受理 → JPCERT/CC を通して開発者へ通知 → 脆弱性への対応 → 情報の公表、の順になっているようです。当たり前ですね (^_^; 。
むらちより/あい/をこめて。
Re:公表が先なの? (スコア:2, 参考になる)
ただ、先に公表しないとも名言していないのでどちらか判りませんが。
それよりも、
IPAが情報の公表・データベース化、ユーザーとの窓口
JPCERT/CCが脆弱性を検証・ソフトウェア開発者やWebサイト管理者に報告する
この二部門をわざわざ分けているほうが気になりますね。
きちんと連携とって対応しないと、
開発者に連絡する前に公表しないと明言してたとしても、
手違いで先に発表してしまったとかやりかねないので。
Re:公表が先なの? (スコア:1)
Re:公表が先なの? (スコア:2, すばらしい洞察)
でも、それよりも前に JPCERT/CC がコーディネートすると言っていること自体、過去の経緯を知る者に取ってみれば既に大失笑なんですけど。まぁ、一応お手並み拝見はしますけど、45日たって公開した報告者を笊なサイト管理者と一緒に非難する側に回る光景が目に見えるようです。
Re:公表が先なの? (スコア:1)
・発見者情報について
製品開発者及びウェブサイト運営者と発見者との間で、脆弱性に関する詳細な情報のやり取りが発生することを考慮し、届出の際に発見者の連絡先情報の記入をお願いしています。発見者情報は、機密情報として取り扱い、脆弱性関連情報の取扱い終了後に削除します。
良くわかってないのだけど、45日たってから報告者って公表されるの?
Re:公表が先なの? (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:公表が先なの? (スコア:0)
Re:公表が先なの? (スコア:1, 参考になる)
通知より先に公表しちゃったら、office さん状態になっちゃうじゃないですか。
……というしょーもないボケは置いといて。
ちょっとマジレスすると、IPA のプレス発表 [ipa.go.jp]の図を見ると、
製品開発者への通知のほうが公表よりも先みたいですね。
開発者とのやりとりは JPCERT/CC が行うみたいですが、
IPA が受け付けてから開発者に伝わるまでどれくらい時間がかかるのか、
開発者に連絡したという情報を発見者にフィードバックするのかしないのか、
イマイチはっきりしませんが。
でも発見者の情報については公表後も機密とされるので、
発見者が開発者/運営者から逆ネジ食らう心配はなくなるのかな。
Re:公表が先なの? (スコア:0)
彼は通知してなかったんじゃない。
通知先をちゃんと公表してない側。通知の仕方がまずかったんで門前払いされてぶちぎれた、という背景があるのを忘れちゃいけない。
得たデータ、特に個人情報を一部とはいえ当事者に無断で公表しちゃったことは当然正当な手段で裁かれるべきことだけどな。
Re:公表が先なの? (スコア:0)
1: いきなりAD200xで情報大公開
2: それから各機関に連絡を送付
3: ACCSが出した返事のメールヘッダがACCSからっぽくなかったと河合が勘違い
時系列を間違えないでくだちい。
大うそつきもいましたが、みんなちゃんと反応しました。