アカウント名:
パスワード:
良い子はやられサイト見つけたら たれこめよな!
http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp]の(2) ウェブアプリケーション脆弱性関連情報
に該当するから。って色々理解して届け出にいくらかの時間を割いてもらわないといけないんだけれど。
IPAの投稿フォームは、ちょっと時間が経つとセッション切れで書いた内容がパァになりますので、項目を見つつエディタで書いた後、投稿するといいです。 この件とは無関係の脆弱性を7日にタレ込んだけどもまだ返事が来ません。ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
#IPAにタレ込んだとき、手元に取っておこうと思ってエディタで書いてて助かった
ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
これは逆切れされて訴えられるパターンですかね。
実際に感染サイト運営者に連絡したら「スキャンしても何もでてきません!ウソいわないでください!」と言われてしまい何度注意しても聞いてもらえなかったっていう話を聞きました。
他のちゃんとした機関から言ってもらうってのは重要だと思います。レンタルサーバならサーバ管理者でもよさそう。
逆に「変なの出た! こいつウイルス持ってる!」みたいにいきなり掲示板で言われたこともありましたね。
症状でぐぐった上でスキャンし、「それはMTXですね。VBでスキャンしましたが、検出されませんでした」で済んだけどね。
どのウイルスを、どのワクチンソフトで検出したかを伝えるのが肝要です。
逆切れされてしまった方。http://www3.atword.jp/gnome/2009/05/05/ok-i-have-no-longer-warn-anyone... [atword.jp]
直接連絡はトラブルの元ですし、そういう仕事をする組織として JPCERT/CC [jpcert.or.jp] が存在するのですから、彼らに仕事を振ってあげましょう。インシデント報告の届出 [jpcert.or.jp]に報告書式があったりしますが、これに従わなくてもたいていは受理される模様です。
http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp] [ipa.go.jp] の(2) ウェブアプリケーション脆弱性関連情報 に該当するから。
該当しない。届出ても受理されないはず。
ヤクザがしのぎでやっているサイトとかだったらどうするんだよ。それでなくても素人に毛の生えた連中が運用しているサイトなんだからそんな連中を相手にして自分の時間(と精神的疲労)を無駄にするよりIPAに届けて受理されるところまでで市民の義務(じゃないな、技術者の倫理か?)は果たしたと思って報告したほうがよいよ。
さてこういう”やられサイト”が届出の対象となるか? http://www.ipa.go.jp/security/vuln/faq.html [ipa.go.jp] より Q1-3 脆弱性かどうか分かりませんが、届出をしてもいいですか? 不具合を確認したが、それが脆弱性かどうか判断できない場合や、 仕様通りの挙動だが問題がある場合は、セキュリティ上の脅威の 有無を
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
IPA! IPA! (スコア:0)
良い子はやられサイト見つけたら たれこめよな!
http://www.ipa.go.jp/security/vuln/report/index.html [ipa.go.jp]
の(2) ウェブアプリケーション脆弱性関連情報
に該当するから。って色々理解して届け出にいくらかの時間
を割いてもらわないといけないんだけれど。
Re:IPA! IPA! (スコア:3, 参考になる)
IPAの投稿フォームは、ちょっと時間が経つとセッション切れで書いた内容がパァになりますので、
項目を見つつエディタで書いた後、投稿するといいです。
この件とは無関係の脆弱性を7日にタレ込んだけどもまだ返事が来ません。
ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
#IPAにタレ込んだとき、手元に取っておこうと思ってエディタで書いてて助かった
Re:IPA! IPA! (スコア:2, すばらしい洞察)
ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
これは逆切れされて訴えられるパターンですかね。
Re:IPA! IPA! (スコア:1)
実際に感染サイト運営者に連絡したら
「スキャンしても何もでてきません!ウソいわないでください!」
と言われてしまい何度注意しても聞いてもらえなかったっていう話を聞きました。
他のちゃんとした機関から言ってもらうってのは重要だと思います。
レンタルサーバならサーバ管理者でもよさそう。
Re: (スコア:0)
逆に「変なの出た! こいつウイルス持ってる!」
みたいにいきなり掲示板で言われたこともありましたね。
症状でぐぐった上でスキャンし、
「それはMTXですね。VBでスキャンしましたが、検出されませんでした」
で済んだけどね。
どのウイルスを、どのワクチンソフトで検出したかを伝えるのが肝要です。
Re: (スコア:0)
逆切れされかねないというのは、欠陥のある状態でまだ被害が出ていないとき。「おまえが攻撃するつもりか?」と思われてしまいかねないという話ね。
Re:IPA! IPA! (スコア:1, 興味深い)
逆切れされてしまった方。
http://www3.atword.jp/gnome/2009/05/05/ok-i-have-no-longer-warn-anyone... [atword.jp]
たまには JPCERT/CC のことも思い出してあげてください (スコア:1)
直接連絡はトラブルの元ですし、そういう仕事をする組織として JPCERT/CC [jpcert.or.jp] が存在するのですから、彼らに仕事を振ってあげましょう。インシデント報告の届出 [jpcert.or.jp]に報告書式があったりしますが、これに従わなくてもたいていは受理される模様です。
脆弱性届出の受理対象ではない。 (スコア:1, 興味深い)
該当しない。届出ても受理されないはず。
Re: (スコア:0)
つまりウイルス配布サイトですよね。たしかに危険サイトであって脆弱性とは違う気がするけど。
でも危険URLを報告するのも必要な気もするし。
届け先がないのか、日々増える危険URLをいちいち報告されても対処しようがないのか、どうなんでしょう。
Re: (スコア:0)
Re: (スコア:0)
ヤクザがしのぎでやっているサイトとかだったらどうするんだよ。
それでなくても素人に毛の生えた連中が運用しているサイトなんだから
そんな連中を相手にして自分の時間(と精神的疲労)を無駄にするより
IPAに届けて受理されるところまでで市民の義務(じゃないな、技術者の倫理か?)
は果たしたと思って報告したほうがよいよ。
さてこういう”やられサイト”が届出の対象となるか?
http://www.ipa.go.jp/security/vuln/faq.html [ipa.go.jp] より
Q1-3 脆弱性かどうか分かりませんが、届出をしてもいいですか?
不具合を確認したが、それが脆弱性かどうか判断できない場合や、
仕様通りの挙動だが問題がある場合は、セキュリティ上の脅威の
有無を
Re: (スコア:0)