水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 脆弱性報告者の心構え

脆弱性報告者の心構え

2010年2月25日(木曜日)

脆弱性報告者の心構え

公開: 2010年3月6日21時5分頃

正しい脆弱性報告のあり方 (d.hatena.ne.jp)」。

それでも修正対応のスピードを求めるのだとしたら、例えば世の中的にそういうの放置すればするほどヤバイじゃん、という思いがあるのかな?

この思いはありますね。中には攻撃に複雑な条件が必要な場合もありますが、ほとんどの場合、脆弱性は誰でもすぐに気付けて、誰でもすぐに攻撃可能なものです。どうしても「他の人が気付いて悪用するのではないか」という心配をしてしまうわけで、できるだけ早く対応して欲しいと思ってしまいます。

……ただ、「運営者に圧力をかけてまで素早い対応を求めるべき」とまで思うかどうかは、分かれるところでしょう。私は、脆弱性の修正はあくまで運営者が自身の判断で行うべき事で、外から圧力をかけてやらせるようなことではないと思っています。運営者が脆弱性の影響を正しく理解した上で「修正しない」と判断したのであれば、それはそれで尊重するべきでしょう (私がそのサイトを使い続けるかどうかは、また別の話ですが)。

以前も「脆弱性に関わる人の立場と目的」という話を少し書いたのですけれど、個人的には、脆弱性報告の際には以下の3点に気をつけるようにしています。

これはあくまで私のポリシーなので、人によってはまた違うでしょう。そもそも「野次馬の期待に応えることだけが目的」という人がいても良いわけですし、その場合は私とは全く違う行動パターンになるはずです。

関連する話題: セキュリティ / Web

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト