脆弱性報告者の心構え
2010年2月25日(木曜日)
脆弱性報告者の心構え
公開: 2010年3月6日21時5分頃
「正しい脆弱性報告のあり方 (d.hatena.ne.jp)」。
それでも修正対応のスピードを求めるのだとしたら、例えば世の中的にそういうの放置すればするほどヤバイじゃん、という思いがあるのかな?
この思いはありますね。中には攻撃に複雑な条件が必要な場合もありますが、ほとんどの場合、脆弱性は誰でもすぐに気付けて、誰でもすぐに攻撃可能なものです。どうしても「他の人が気付いて悪用するのではないか」という心配をしてしまうわけで、できるだけ早く対応して欲しいと思ってしまいます。
……ただ、「運営者に圧力をかけてまで素早い対応を求めるべき」とまで思うかどうかは、分かれるところでしょう。私は、脆弱性の修正はあくまで運営者が自身の判断で行うべき事で、外から圧力をかけてやらせるようなことではないと思っています。運営者が脆弱性の影響を正しく理解した上で「修正しない」と判断したのであれば、それはそれで尊重するべきでしょう (私がそのサイトを使い続けるかどうかは、また別の話ですが)。
以前も「脆弱性に関わる人の立場と目的」という話を少し書いたのですけれど、個人的には、脆弱性報告の際には以下の3点に気をつけるようにしています。
- 脆弱性を作った開発者や脆弱なサイトの運営者に対して、罰を与えようとしないこと。
- 野次馬を気にしないこと。野次馬の期待に応えようとしない。
- あくまで運営者の意思で修正が行われるようにすること。強迫や脅迫によって修正させることはしない。
これはあくまで私のポリシーなので、人によってはまた違うでしょう。そもそも「野次馬の期待に応えることだけが目的」という人がいても良いわけですし、その場合は私とは全く違う行動パターンになるはずです。
- 「脆弱性報告者の心構え」にコメントを書く
- 前(古い): ガラパゴスに支えられる携帯サイトのセキュリティ
- 次(新しい): 428 ~封鎖された渋谷で~