水無月ばけらのえび日記

24ページ: 処理の遅延について

報告書には書かれていませんが、届出された脆弱性の種類や深刻度によって取扱の優先度を変えていると聞いています。緊急性のある案件については優先的に処理されているということで、たとえば、XSSよりもSQLインジェクションのほうが優先される傾向にあります。

つまり、「緊急性のある案件については優先的に処理されている」という前提で、「緊急性のない案件は大幅に遅延しているが、大きな問題ではない」と考えているわけです。遅れていても全く問題ない、と考えているわけではありませんので、そこはひとつ。

※緊急性が無いものは遅れても良いとは言え、4月14日に届け出た内容の不備を今になって質問されたりすると、だいぶ昔の届出の控えを発掘する羽目になって大変だったり……。まあ、記入の不備は私が悪いので、そこは申し訳ないのですが。

25ページ: 発見者から運営者に直接連絡

これは私ではなくて、他の届出者の方からこのようなご意見があったとお聞きしております。が……そもそも、現状のパートナーシップガイドラインでは直接連絡は禁じられていません。届出者がしびれを切らして「直接連絡した方が早いじゃん!」と感じたなら、直接連絡して良いことになっています。

実際、私も発見した脆弱性すべてを届け出ているわけではなく、直接連絡した方が早いと感じたものは、直接連絡しています。直接連絡が色々な意味で面倒だから届け出ているわけで、そこを「直接連絡してもらうよう推奨」されてもちょっと、という感じはしますね。

26ページ: 製品の脆弱性に取扱開始の通知がない

これは補足が必要だと思いますが、ウェブアプリケーションの脆弱性を届け出た場合、「受信」「受理」の連絡が来た後、ウェブの運営者に対して情報を通知した時点で「取扱開始」という連絡があります。そして修正された時点で「修正完了」が連絡されます。しかし、ソフトウェア製品の場合「受信」「受理」の連絡の後、いきなり「公開」の連絡となり、「取扱開始」に相当する連絡がありません。ベンダーに連絡が行っているのかいないのか、全く分からないのです。

まあ、質問すれば現在の状況は教えてもらえるのだろうと思いますが、「取扱開始」に相当する連絡があっても良いのではないかと思います。

36ページ: 古い製品を利用しているウェブサイト

「古い製品を利用しているウェブサイト」の対応が検討されています。

たとえば、とある脆弱性診断専門の会社が古いMTを使い続けていてXSS脆弱性を抱えていた、などというケースですね。届け出たところ、これは公表されている脆弱性であって、ウェブサイトの脆弱性には該当しない (けれども運営者には連絡する) という扱いになりました。このようなケースについても取り扱ってほしいという要望を伝えていましたが、それが今回検討された形になります。

結論としては、「運営者が自力で気付けよ」という話であって、積極的に扱っていくという方向ではないようですね。届出件数がやたら増加していることをふまえての判断でもあるでしょうし、これはこれで妥当であるように思います。

37ページ: 何度も修正を促したが対策がなされないウェブサイト

出ましたね。これは私も問題だと思っていたところです。25回促したケースが確認されていますが、お疲れ様でしたとしか言いようがありません。現在も、全く修正する気がないとしか思えない人がいたりして……。

※放置するだけならまだ分かるのですけれど、平然と脆弱サイトを量産し続けるのは勘弁してほしいです。

届出者としては、放置案件は取扱終了にしてほしいところです。ガイドラインでは取扱中の脆弱性関連情報は公表できませんが、取扱終了になれば、脆弱性を公表して危険性を周知することができるようになります。場合によっては回避策を提示できることもあるでしょう。

今回の報告では、一定期間後に取扱終了という方向で検討されています。

1～2年だそうで。なんか昔のガイドラインでは90日ルールが謳われていたような気がしなくもないですが、まあ実態に合っていなかったということなのでしょう。

※枝番が10個も振られている伝説の放置案件は昨年の8月からスタートしているので、ちょうどガイドライン改訂のタイミングで1年になるのかなと。