2007年2月22日(木曜日)
発見は推奨されていない
何となく興味深い記述が……「脆弱性の発見と報告とIPA (shohoji.net)」。
報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。
でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい」といった旨の返事がくる。
へぇ、そんなことがあるものなのですね。
まあ、情報セキュリティ早期警戒パートナーシップは、基本的には「うっかり見つけちゃった」ものを報告するところであって、発見することを推奨してはいないと思います。もし積極的に探しに行くことが推奨されて、インセンティブが与えられたりすると、届出件数は爆発的に増えるでしょう。その気になれば、「ググっても仕方ない~」とか歌いながら毎日2桁ペースで発見できそうな気がしますので。
今までに脆弱性を見つけてIPAを通さず直接サービス運営者に伝えた事も何度かあるけど、すべての報告で怒られるどころか感謝されてる。
うーん、これは運の問題のような。私も直接伝えていた時期がありますが、感謝されるかどうかは半々くらいという印象でした。最近は「知り合いには直接伝える」というスタンスですが、さすがに知り合いだとたいてい感謝されますね。
- 「発見は推奨されていない」にコメントを書く
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
- 前(古い): 2007年2月21日(Wednesday)のえび日記
- 次(新しい): 2007年2月23日(Friday)のえび日記
