スレッド内全記事表示 (記事 4086 からのスレッド)

これは「水無月ばけらのえび日記 : 慎重な方」に関連するコメントです。

えむけい (2007年1月28日 21時13分)

> 発見者とは、脆弱性関連情報を発見または取得した人を含みます。例えば、

> ソフトウエアの脆弱性を発見した人や、インターネット上で脆弱性関連情報を

> 入手した人などが当てはまります。ソフトウエアの脆弱性を発見した人のみを

> 対象としているわけではありません。

だそうなので、公開してしまえばそれを見た人はみんな「発見者」というのを思いつきました【謎】。

# なんか昔似たようなカウンタがあったような…。

それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

> 6) 発見者に係わる情報の取り扱い

> IPA は、氏名・連絡先を含む発見者に係わる情報を、発見者が望む場合以外

> には、JPCERT/CC と製品開発者および第三者に開示しないよう適切に管理し

> ます。

を見る限りでは明らかに含まれていないようなのですが。

ばけら (2007年1月29日 1時22分)

>それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

　製品開発者は第三者ではありません。製品開発者に連絡を行うことについては明確に規定されていて、こうなっています。

>3) 脆弱性関連情報の届出

>発見者は、発見した脆弱性関連情報をIPA に届け出ることができます。脆弱性関連情報に関係する製品開発者に対し、同一情報の届出を行う必要はありませんが、届け出ること自体は問題ありません

　元記事では「身元不明な個人ブロガー」と言っているので、製品開発者であることが確認できていない場合を想定していますが、何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

えむけい (2007年1月29日 1時37分)

>何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

具体的にどんな方法が考えられるでしょうか?

とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

ばけら (2007年1月29日 2時57分)

>具体的にどんな方法が考えられるでしょうか?

>とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

　JPCERT/CCが何を根拠に「製品開発者」の本人性を確認しているのかは、私にも分かりません。法人であれば、よほど怪しい団体でない限り問題なく確認できそうな気がするのですが、個人だと難しいのではないでしょうか。

新生鳩丸掲示板♯