水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年2月 > 2010年2月25日(木曜日)

2010年2月25日(木曜日)

脆弱性報告者の心構え

公開: 2010年3月6日21時5分頃

正しい脆弱性報告のあり方 (d.hatena.ne.jp)」。

それでも修正対応のスピードを求めるのだとしたら、例えば世の中的にそういうの放置すればするほどヤバイじゃん、という思いがあるのかな?

この思いはありますね。中には攻撃に複雑な条件が必要な場合もありますが、ほとんどの場合、脆弱性は誰でもすぐに気付けて、誰でもすぐに攻撃可能なものです。どうしても「他の人が気付いて悪用するのではないか」という心配をしてしまうわけで、できるだけ早く対応して欲しいと思ってしまいます。

……ただ、「運営者に圧力をかけてまで素早い対応を求めるべき」とまで思うかどうかは、分かれるところでしょう。私は、脆弱性の修正はあくまで運営者が自身の判断で行うべき事で、外から圧力をかけてやらせるようなことではないと思っています。運営者が脆弱性の影響を正しく理解した上で「修正しない」と判断したのであれば、それはそれで尊重するべきでしょう (私がそのサイトを使い続けるかどうかは、また別の話ですが)。

以前も「脆弱性に関わる人の立場と目的」という話を少し書いたのですけれど、個人的には、脆弱性報告の際には以下の3点に気をつけるようにしています。

これはあくまで私のポリシーなので、人によってはまた違うでしょう。そもそも「野次馬の期待に応えることだけが目的」という人がいても良いわけですし、その場合は私とは全く違う行動パターンになるはずです。

関連する話題: セキュリティ / Web

最近の日記

関わった本など