水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 発見は推奨されていない

発見は推奨されていない

2007年2月22日(木曜日)

発見は推奨されていない

何となく興味深い記述が……「脆弱性の発見と報告とIPA (shohoji.net)」。

報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。

でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい」といった旨の返事がくる。

へぇ、そんなことがあるものなのですね。

まあ、情報セキュリティ早期警戒パートナーシップは、基本的には「うっかり見つけちゃった」ものを報告するところであって、発見することを推奨してはいないと思います。もし積極的に探しに行くことが推奨されて、インセンティブが与えられたりすると、届出件数は爆発的に増えるでしょう。その気になれば、「ググっても仕方ない~」とか歌いながら毎日2桁ペースで発見できそうな気がしますので。

今までに脆弱性を見つけてIPAを通さず直接サービス運営者に伝えた事も何度かあるけど、すべての報告で怒られるどころか感謝されてる。

うーん、これは運の問題のような。私も直接伝えていた時期がありますが、感謝されるかどうかは半々くらいという印象でした。最近は「知り合いには直接伝える」というスタンスですが、さすがに知り合いだとたいてい感謝されますね。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト