水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 慎重な方

慎重な方

2007年1月26日(金曜日)

慎重な方

[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (himag.blog26.fc2.com)」だそうで。

思い返すに脆弱性情報をIPAを通じて届出るほど慎重な方が、身元不明な個人ブロガーに情報提供して頂けるはずがないと知るべきでした。

情報セキュリティ早期警戒パートナーシップでは、届出を行った脆弱性関連情報は、取扱終了まで第三者に教えてはいけないというルールになっています。そのルールを守ると、このような連絡はできないということになります。ちなみに、「届出情報受信のご連絡」というメールには、以下のような定型の文章が入っています。

なお、本件の取扱いが終了するまでの間、関連情報を第三者に開示しないようお願いいたします。これは、下記に示す告示の『発見者基準』および、ガイドラインの『発見者の対応』に基づくものです。第三者への開示を希望される場合は、あらかじめ IPA セキュリティセンターまでお問い合わせください。

※これは届出するたびに送られてくるので、100件届け出ると100回読まされます。:-)

厳密に言うと、セキュリティセンターと相談して開示すれば良いということにはなるでしょうが、普通そんな面倒なことはしないかと。

というわけで、慎重かどうかはあまり関係ないように思いますが、「制度を利用する人 = 慎重」というイメージもどうかなぁと思います。私が届出制度を利用するのは「面倒だから」ですし。

その間、一般ユーザーの方々には注意を促せば大丈夫だろうと誤った判断をしてしまいました。過去にも他の方のブログ等でSageの脆弱性が指摘されたことがあり、「脆弱性の存在」を公表するだけならば大きな問題にはならないだろうと甘く考えていたことに対し、深く反省しております。

これはどうなんでしょうね。というのは、JPCERT/CC にしても、身元のよく分からない「ベンダっぽい」人に対して「脆弱性があるよ」と通知しているわけでして。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト