「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」へのコメント

yamagata21 (2008年10月12日 10時22分)

セキュリティ/脆弱性についてちゃんと理解している人の場合や、あるいは、

XSSのように脆弱性の存在が誰にでも明白に判断できる場合は、

「○○というサイトは脆弱だ」と言ってしまうのもアリかも知れません。

でも、世の中には、セキュリティ/脆弱性についての中途半端な理解のもと、

例えば、入力→確認→完了の、確認→完了で、hiddenを使って値を引き継いで

いました！これは脆弱です！というような届出だってあるかも知れません。

例えば、アンケートフォームがhttpsではありませんでした！脆弱です！

という届出もあるかも知れません。

詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

濡れ衣だ～！とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

# ま、「受理」になってから、書けば良いのかも知れませんが、、、

　＊＊＊

どうすれば修正してもらえるんですかねぇ。

企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

その企業が所属する業界団体に通知するようにするとか。（冗談ｗ）

ばけら (2008年10月12日 12時16分)

>詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に

>なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、

>濡れ衣だ～！とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。

　確かにそうですね。

　実際、そんなような話が過去にあったような気もします。

　そのための釘でもあるのでしょうね。

>企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが

>その企業が所属する業界団体に通知するようにするとか。（冗談ｗ）

　まともな企業なら、割とふつうに対応してくれるので問題ないのですけれど……。

　最近悩みの種なのが「大量に脆弱性を生み出しており、既に攻撃も受けているのに改める気配が全く感じられない個人」というパターンで、これがいちばんやっかいかもしれないと思っております。