アカウント名:
パスワード:
私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるから、IPAが取り消し、ITmediaの記事を訂正させなければならない。 [twitter.com]
リアル私がこの理論の提唱者です案件強過ぎる。
ってスラドの記事はITmediaその2のリンクが間違ってますね。浩光先生おこ案件はこっちの記事ね。
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り [itmedia.co.jp]
>IPA「脆弱性や手口を不特定多数に公開するのは望ましくない」
そもそも今回のは「仕様」であって脆弱性ではなく、IPAに報告したところで何もしてくれないのでは...
ネットには「SQLインジェクションの脆弱性も」との噂があったのでITmediaの記者がそれを前提にIPAから得た回答を記事にしたんでしょうかねただしAERA・毎日・日経BPの記事はSQLインジェクションは記事にもしておらず、あくまで架空データ入力可能な「仕様」を報じているようです
「仕様」であることと「脆弱性」であることは排他ではない。今回は「仕様かつ脆弱性」のケース。仕様だからと修正しないのか、何らか緩和策を入れるのか、仕様そのものを見直すのかは開発者次第。修正しないとなった場合、その公表について開発者と調整してくれるのもIPAやJPCERT/CCの役目。
つまり提唱者が正しいんじゃね?
確かに現在はステークホルダーではないんだからな中の人より「正しい」ことを言いやすいだろう
全人類が本問題のステークホルダーだと思うのだが(極論)
>>私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員~有識者なら根拠を示して、何がどう出鱈目なのか書いて欲しいな。立場を強調しても参考にならない。・情報システム等の脆弱性情報の取扱いに関する研究会 報告書 - IPAhttps://www.ipa.go.jp/security/fy15/reports/vuln_handling/index.html [ipa.go.jp]
それは根拠を示さない理由にならないと思います。140字毎に区切る、ホームページに掲載等の手段があります。
続き読めよw
「私はこの届出制度の提唱者~」のツイートに対して続きはないが、何を指しているのか?
それともこっちのツリー?どちらにしても、出鱈目の根拠は記載がないよね。https://twitter.com/HiromitsuTakagi/status/1394292122308603906 [twitter.com]
提唱者と告示の内容で食い違ってる。ツイートでは、攻撃(DoS攻撃)によりサービスの機能停止は、自業自得のため脆弱性にあたらないとしている。告示では、問題個所に対して攻撃(DoS攻撃)することで、機能が損なわれる場合は脆弱性の定義に入る。(IPAが迷っているっていうのはどこ情報?脆弱性の定義に入るため、受け付けているのではないか)
出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない(迷いつつ受け付けてはいる)。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしてい [twitter.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
浩光先生「IPAの回答は誤りです」 (スコア:3, 参考になる)
リアル私がこの理論の提唱者です案件強過ぎる。
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
ってスラドの記事はITmediaその2のリンクが間違ってますね。
浩光先生おこ案件はこっちの記事ね。
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り [itmedia.co.jp]
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
>IPA「脆弱性や手口を不特定多数に公開するのは望ましくない」
そもそも今回のは「仕様」であって脆弱性ではなく、IPAに報告したところで何もしてくれないのでは...
ネットには「SQLインジェクションの脆弱性も」との噂があったのでITmediaの記者がそれを前提にIPAから得た回答を記事にしたんでしょうかね
ただしAERA・毎日・日経BPの記事はSQLインジェクションは記事にもしておらず、あくまで架空データ入力可能な「仕様」を報じているようです
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
// IPAが何もしないのはその通り。アレに何かさせちゃダメだ
Re: (スコア:0)
「仕様」であることと「脆弱性」であることは排他ではない。今回は「仕様かつ脆弱性」のケース。
仕様だからと修正しないのか、何らか緩和策を入れるのか、仕様そのものを見直すのかは開発者次第。
修正しないとなった場合、その公表について開発者と調整してくれるのもIPAやJPCERT/CCの役目。
Re: (スコア:0)
Re: (スコア:0)
つまり提唱者が正しいんじゃね?
Re: (スコア:0)
確かに現在はステークホルダーではないんだからな
中の人より「正しい」ことを言いやすいだろう
Re: (スコア:0)
全人類が本問題のステークホルダーだと思うのだが(極論)
Re: (スコア:0)
>>私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員~
有識者なら根拠を示して、何がどう出鱈目なのか書いて欲しいな。
立場を強調しても参考にならない。
・情報システム等の脆弱性情報の取扱いに関する研究会 報告書 - IPA
https://www.ipa.go.jp/security/fy15/reports/vuln_handling/index.html [ipa.go.jp]
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
Re: (スコア:0)
それは根拠を示さない理由にならないと思います。
140字毎に区切る、ホームページに掲載等の手段があります。
Re: (スコア:0)
続き読めよw
Re: (スコア:0)
「私はこの届出制度の提唱者~」のツイートに対して続きはないが、何を指しているのか?
それともこっちのツリー?
どちらにしても、出鱈目の根拠は記載がないよね。
https://twitter.com/HiromitsuTakagi/status/1394292122308603906 [twitter.com]
Re: (スコア:0)
提唱者と告示の内容で食い違ってる。
ツイートでは、攻撃(DoS攻撃)によりサービスの機能停止は、自業自得のため脆弱性にあたらないとしている。
告示では、問題個所に対して攻撃(DoS攻撃)することで、機能が損なわれる場合は脆弱性の定義に入る。
(IPAが迷っているっていうのはどこ情報?脆弱性の定義に入るため、受け付けているのではないか)
出鱈目。基本的にIPAの脆弱性届出制度は、DoSを問題にしていない(迷いつつ受け付けてはいる)。なぜなら、サービスが機能しなくなることは当該サービス提供者の自業自得であって、情報漏えいの脆弱性など国民に被害が及ぶものについて届出を受け付けるとしてい [twitter.com]