新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (91/282)

投稿順表示 (91/282)

[4089] Re: 「慎重な方」

ばけら (2007年1月29日 2時57分)

>具体的にどんな方法が考えられるでしょうか?

>とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

 JPCERT/CCが何を根拠に「製品開発者」の本人性を確認しているのかは、私にも分かりません。法人であれば、よほど怪しい団体でない限り問題なく確認できそうな気がするのですが、個人だと難しいのではないでしょうか。

[4088] Re: 「慎重な方」

えむけい (2007年1月29日 1時37分)

>何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

具体的にどんな方法が考えられるでしょうか?

とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

[4087] Re: 「慎重な方」

ばけら (2007年1月29日 1時22分)

>それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

 製品開発者は第三者ではありません。製品開発者に連絡を行うことについては明確に規定されていて、こうなっています。

>3) 脆弱性関連情報の届出

>発見者は、発見した脆弱性関連情報をIPA に届け出ることができます。脆弱性関連情報に関係する製品開発者に対し、同一情報の届出を行う必要はありませんが、届け出ること自体は問題ありません

 元記事では「身元不明な個人ブロガー」と言っているので、製品開発者であることが確認できていない場合を想定していますが、何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

[4086] Re: 「慎重な方」

えむけい (2007年1月28日 21時13分)

http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf

> 発見者とは、脆弱性関連情報を発見または取得した人を含みます。例えば、

> ソフトウエアの脆弱性を発見した人や、インターネット上で脆弱性関連情報を

> 入手した人などが当てはまります。ソフトウエアの脆弱性を発見した人のみを

> 対象としているわけではありません。

だそうなので、公開してしまえばそれを見た人はみんな「発見者」というのを思いつきました【謎】。

# なんか昔似たようなカウンタがあったような…。

それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

> 6) 発見者に係わる情報の取り扱い

> IPA は、氏名・連絡先を含む発見者に係わる情報を、発見者が望む場合以外

> には、JPCERT/CC と製品開発者および第三者に開示しないよう適切に管理し

> ます。

を見る限りでは明らかに含まれていないようなのですが。

[4085] Re: 「脆弱性関連情報が伝達されない」

えむけい (2007年1月27日 10時53分)

そういえば、以前かんなさん【誰】が匿名で通報したら不受理になって残念な思いをしていましたが、

http://bakera.jp/hatomaru.aspx/htmlbbs/inthread/3045

ゴネれば匿名のままでも受理されることがあるらしいです。

http://tdiary.seesaa.net/article/32155295.html

なんで脆弱性情報の連絡がメールアドレスだけじゃできんのだ訳を言え訳を、ていうか書面や電話での連絡とかいらん、とかがんばれば案外なんとかなったのかもしれません。

> 単純に考えれば、JPCERT/CCまたはIPAはお役所でしかないということなのでしょう。

お役所に文句を言っても無駄だ、あるいはお役所が個人情報をよこせと言っている以上渡さなければ話は進まないと最初からあきらめるわれわれ【誰】のほうもいかにも日本人だとか思いました【謎】。

[4084] Re: 「脆弱性関連情報が伝達されない」

ばけら (2007年1月27日 0時57分)

>そもそも何でJPCERT/CCは開発者ベンダ登録のために住所や電話番号を要求するのでしたっけ。

 ちなみにガイドラインではこうなっています。

>JPCERT/CC は、製品開発者に対して脆弱性関連情報を連絡するために、日頃より製品開発者リストの整備に努めます。この製品開発者リストには、製品開発者毎に、製品の情報、社名、窓口等を登録します。

「社名、窓口等」となっているあたりから察するに、基本的には法人のベンダを想定していて、個人の開発者はあまり想定していなかったのではないかと思います。

 しかし蓋を開けてみたら意外に個人が多くて、ついにこういうケースが出てきたということでしょう。

[4083] Re: 「脆弱性関連情報が伝達されない」

えむけい (2007年1月27日 0時23分)

そもそも何でJPCERT/CCは開発者ベンダ登録のために住所や電話番号を要求するのでしたっけ。理由もないのに集めてたらそりゃ警戒されても仕方ないですね。つい最近も住所や電話番号を要求されて三洋電機への問い合わせを断念した人【誰】【ダウト】とかいましたし。

http://bakera.jp/hatomaru.aspx/ebi/topic/2765

[4082] Re: 「花王、スポンサーを降りる」

らぃ (2007年1月26日 16時13分)

某芸能人の娘をひき殺したのが花王の配送車という話がからむととたんに胡散臭くなりますが・・・

[4081] Re: 「MT で nofollow プラグインを無効にすると危険」

ばけら (2007年1月25日 18時22分)

 反応遅くて申し訳ありませんが、日本語版でましたね。

 ありがとうございます。

[4080] Re: 「ポケモンダイヤモンド ともだちコード」

あつや (2007年1月23日 20時47分)

ガルーラちょうだい

[4079] Re: 「FF13の値段」

マロン (2007年1月23日 13時8分)

私にはわかりませんが・・・・・・

でも3万とかでも絶対に手にいれてみせます

FFシリーズ大好きなんです!!

[4078] Re: 「MT で nofollow プラグインを無効にすると危険」

iwaim (2007年1月23日 12時3分)

日本語版リリースされましたね。ありがとうございます。>関係者各位(誰)

[4077] Re: 「MT で nofollow プラグインを無効にすると危険」

Fumiaki Yoshimatsu (2007年1月21日 15時46分)

シックス・アパートの吉松と申します。ご指摘のとおりです。MT 3.34で修正されています(URL参照)。なお、MT 3.34日本語版は近日中にリリース予定です。

http://www.sixapart.com/movabletype/docs/3.3/h_changelog/3_34.html

[4076] Re: 「閾値」

かんな (2007年1月20日 10時6分)

「想像の域を出ない」だと思ってました……。

[4075] 未承認メッセージ (投稿元:218.66.80.8)

特典漢方薬.com (2007年1月18日 11時53分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[4074] 未承認メッセージ (投稿元:221.212.25.95)

純子 (2007年1月17日 12時22分)

(この記事は承認されていないため、管理者が許可するまで公開されません。)

[4073] Re: 「エネループ充電器の取扱説明書を求めて」

ばけら (2007年1月16日 21時9分)

>単3電池*2+充電器というセット(N-MDR02S)を持っています。

>充電器の説明書+保証書になっている紙が入っていました。

 情報ありがとうございます。やっぱり、入っているのが正しいのですね。

 なんで無いんだろう……。orz

[4072] Re: 「エネループ充電器の取扱説明書を求めて」

rodger (2007年1月16日 21時1分)

単3電池*2+充電器というセット(N-MDR02S)を持っています。

充電器の説明書+保証書になっている紙が入っていました。

プラスチックの箱の裏にも「取扱説明書を必ずお読みください」

ってかいてありますね。

[4071] Re: 「ポケモンダイヤモンド ともだちコード」

おかだようすけ (2007年1月13日 18時16分)

>僕はおかだと申します2007年の12日夜7時にバトルしよう!

ともだちコードは403811797891

[4070] Re: 「ポケモンダイヤモンド ともだちコード」

(2007年1月13日 18時15分)

>僕はおかだと申します2007年の12日夜7時にバトルしよう!

ともだちコードは403811797891

最近の日記

関わった本など