記事個別表示 (5054)
これは「水無月ばけらのえび日記 : 情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」に関連するコメントです。
[5054] Re: 「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」
yamagata21 (2008年10月12日 10時22分)
セキュリティ/脆弱性についてちゃんと理解している人の場合や、あるいは、
XSSのように脆弱性の存在が誰にでも明白に判断できる場合は、
「○○というサイトは脆弱だ」と言ってしまうのもアリかも知れません。
でも、世の中には、セキュリティ/脆弱性についての中途半端な理解のもと、
例えば、入力→確認→完了の、確認→完了で、hiddenを使って値を引き継いで
いました!これは脆弱です!というような届出だってあるかも知れません。
例えば、アンケートフォームがhttpsではありませんでした!脆弱です!
という届出もあるかも知れません。
詳細な記述無しに「○○というサイトは脆弱だ」とだけ書くことが一般的に
なってしまったら、なんかそれこそ名誉毀損というか業務妨害というか、
濡れ衣だ~!とサイト運営者が悲痛な叫びをあげることも出てきてしまうかも。
# ま、「受理」になってから、書けば良いのかも知れませんが、、、
***
どうすれば修正してもらえるんですかねぇ。
企業の場合は、6ヶ月経っても修正が行われる気配がなかったら、IPAが
その企業が所属する業界団体に通知するようにするとか。(冗談w)
これは「水無月ばけらのえび日記 : 情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」に関連するコメントです。
全読: [5054]Re: 「情報セキュリティ早期警戒パートナーシップガイドラインに関するいくつかのメモ」からのスレッド(2件)]