新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 3135 からのスレッド)

スレッド内全記事表示 (記事 3135 からのスレッド)

[3135] Re: 「脆弱性を通知された側の対応」

スターダスト (2005年8月7日 13時5分)

Webサイトで会員の個人情報を預かりながらも会員の便宜を図る、とあるサービスがありまして、自社の顧客がその企業でも顧客であるような取引先でした。(資本関係なし)

その昔、同サービスのXSSを探しては担当SEの考え違いを正しつつ数度にわたって粘り強く修正依頼を出し続けたことがあります。とうとう御理解いただいてXSSを全部つぶしきれた時、先方企業の社長からじきじきに電話を頂き、「1:お礼をしたいから直接お会いしたい。そちらの職場に伺いたいがスケジュールはこれでよいか?2:これからもなにかみつけたらどんどん教えて欲しい。」ということでした。社長おでましにビビりましたので丁重にお断りしたところ、大変高額なおいしい羊羹をいくつか頂きました。会社の仲間と一緒に頂きました。

・・・極めて珍しい事例だと思います。…

一般的には、まだまだ個人の資格で通報しても、その通報の意味すら理解できない窓口も多数あります。悪意で無視するのではないのでしょうけれど脆弱性の指摘をしても「わからん。へんなこという奴だ。ほっとけ」みたいな企業は結構あると思いますよ?そういったところへはIPAを通じて報告させて頂くと、脆弱性指摘者としては楽ちんになっております。

最近の日記

関わった本など