新生鳩丸掲示板♯

無理に受理してもらわなくても、とりあえず公開して別途定める親切な人【誰】が通報してくれるのを期待するという手がありそうです。

http://takagi-hiromitsu.jp/diary/20070202.html#p02

ｋｈ＠とぇｒ：｣ｋｇへフォＰ羽ｌｇｆＰ＠ぁｓｃfぇ路ｐ3ｖ、＠cここｇｋｒｐｇｖｋ、えおｐｋ、あ

私も複数のインスタントストアを設置しています。インスタントストアは不具合が多く困っています。１／３１のアソシエイト・セントラルのレポートに関してですが、インスタントストア用のトラッキングＩＤのユニークビジター数・クリック数が自分自身でアクセスした数よりも少ないという怪現象がおきています。注文数のレポートも極度にすくなくなっており、「もしや、インスタントストアで商品が売れても紹介料は正しく入ってこないのでは？」と思っています。

うんうん。かわいらしいなあと思ってしまいます。

>具体的にどんな方法が考えられるでしょうか?

>とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

　JPCERT/CCが何を根拠に「製品開発者」の本人性を確認しているのかは、私にも分かりません。法人であれば、よほど怪しい団体でない限り問題なく確認できそうな気がするのですが、個人だと難しいのではないでしょうか。

>何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

具体的にどんな方法が考えられるでしょうか?

とりあえず住所や電話番号を入力させてもそれは製品開発者であるかどうかの証明とは何も関係ない気がするのですが。JPCERT/CCでは郵送や電話による本人確認か何かを行っているのでしょうか?

>それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

　製品開発者は第三者ではありません。製品開発者に連絡を行うことについては明確に規定されていて、こうなっています。

>3) 脆弱性関連情報の届出

>発見者は、発見した脆弱性関連情報をIPA に届け出ることができます。脆弱性関連情報に関係する製品開発者に対し、同一情報の届出を行う必要はありませんが、届け出ること自体は問題ありません

　元記事では「身元不明な個人ブロガー」と言っているので、製品開発者であることが確認できていない場合を想定していますが、何らかの方法で製品開発者であると確認できたのであれば連絡しても問題ありません。

http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf

> 発見者とは、脆弱性関連情報を発見または取得した人を含みます。例えば、

> ソフトウエアの脆弱性を発見した人や、インターネット上で脆弱性関連情報を

> 入手した人などが当てはまります。ソフトウエアの脆弱性を発見した人のみを

> 対象としているわけではありません。

だそうなので、公開してしまえばそれを見た人はみんな「発見者」というのを思いつきました【謎】。

# なんか昔似たようなカウンタがあったような…。

それはともかく、製品開発者(厳密には身元のよく分からない「ベンダっぽい」人ですが)も「第三者」に含まれるのでしょうか?

> 6) 発見者に係わる情報の取り扱い

> IPA は、氏名・連絡先を含む発見者に係わる情報を、発見者が望む場合以外

> には、JPCERT/CC と製品開発者および第三者に開示しないよう適切に管理し

> ます。

を見る限りでは明らかに含まれていないようなのですが。

そういえば、以前かんなさん【誰】が匿名で通報したら不受理になって残念な思いをしていましたが、

http://bakera.jp/hatomaru.aspx/htmlbbs/inthread/3045

ゴネれば匿名のままでも受理されることがあるらしいです。

http://tdiary.seesaa.net/article/32155295.html

なんで脆弱性情報の連絡がメールアドレスだけじゃできんのだ訳を言え訳を、ていうか書面や電話での連絡とかいらん、とかがんばれば案外なんとかなったのかもしれません。

> 単純に考えれば、JPCERT/CCまたはIPAはお役所でしかないということなのでしょう。

お役所に文句を言っても無駄だ、あるいはお役所が個人情報をよこせと言っている以上渡さなければ話は進まないと最初からあきらめるわれわれ【誰】のほうもいかにも日本人だとか思いました【謎】。

>そもそも何でJPCERT/CCは開発者ベンダ登録のために住所や電話番号を要求するのでしたっけ。

　ちなみにガイドラインではこうなっています。

>JPCERT/CC は、製品開発者に対して脆弱性関連情報を連絡するために、日頃より製品開発者リストの整備に努めます。この製品開発者リストには、製品開発者毎に、製品の情報、社名、窓口等を登録します。

「社名、窓口等」となっているあたりから察するに、基本的には法人のベンダを想定していて、個人の開発者はあまり想定していなかったのではないかと思います。

　しかし蓋を開けてみたら意外に個人が多くて、ついにこういうケースが出てきたということでしょう。

そもそも何でJPCERT/CCは開発者ベンダ登録のために住所や電話番号を要求するのでしたっけ。理由もないのに集めてたらそりゃ警戒されても仕方ないですね。つい最近も住所や電話番号を要求されて三洋電機への問い合わせを断念した人【誰】【ダウト】とかいましたし。

http://bakera.jp/hatomaru.aspx/ebi/topic/2765

某芸能人の娘をひき殺したのが花王の配送車という話がからむととたんに胡散臭くなりますが・・・

　反応遅くて申し訳ありませんが、日本語版でましたね。

http://www.sixapart.jp/movabletype/news/2007/01/22-2000.html

　ありがとうございます。

ガルーラちょうだい

私にはわかりませんが・・・・・・

でも３万とかでも絶対に手にいれてみせます

ＦＦシリーズ大好きなんです！！

日本語版リリースされましたね。ありがとうございます。>関係者各位(誰)

シックス・アパートの吉松と申します。ご指摘のとおりです。MT 3.34で修正されています（URL参照）。なお、MT 3.34日本語版は近日中にリリース予定です。

http://www.sixapart.com/movabletype/docs/3.3/h_changelog/3_34.html

「想像の域を出ない」だと思ってました……。