Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2010-02-23

[]「正しい脆弱性報告のあり方」

IPA脆弱性届出制度のことが書かれていると聞いて。

XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会

脊髄反射的反応で言えば、IPA以外の選択肢を推奨する理由が弱いんじゃないの、と思うなあ。

そもそも「IPA経由は遅い」って本当に遅いのかな?というか、遅いとか速いとかってそれは相手に依る、としか言いようが無いんじゃないかな。絶賛放置プレイ300日オーバーなところもあれば、即日対応なところもあるわけだしね。大きなくくりで言えば90日以内の修正完了はIPAのところに来ているので言えば平均72%だし、当日修正ってのもけっこうある(http://www.ipa.go.jp/security/vuln/report/vuln2009q4.htmlに概要報告、さらに詳しくは、http://www.ipa.go.jp/security/vuln/report/documents/vuln2009q4.pdfの16ページあたりに詳細情報有り)。まあだから、相手に依っては速くできるかも知れないけど、そうではないかも知れない、としか言いようがないんじゃないかなー。

それでも修正対応のスピードを求めるのだとしたら、例えば世の中的にそういうの放置すればするほどヤバイじゃん、という思いがあるのかな?「思い」については正直わからないけど、もしそうなのだとしたら、XSSだからってみんなヤバイとは限らないじゃん、と言っているのとどう整合させれば良いんだろう?ヤバイもの=即応必須モノは直接お知らせして、その他はIPAにでも投げとけ、という感じなのかな(笑)?それなら理屈としてはわかるけどね。

でも、ヤバイもの=即応必須モノは直接お届けしたほうが良い、というのもちょっと危ういんじゃないかな。ヤバイものって扱いが基本デリケートになるものだし*1、まして『「俺はゼロデイXSSのURLをtwitterに晒したくてウズウズしてるんだよォォォ!!!!」という姿勢を見せ』たりすると、それこそ何かごちゃごちゃ言ってきてるけどコイツヤバイ??と捉えられてしまうこともあるんじゃないのかな。

基本的には、こいつヤバイんじゃないの?という目で見られたりしないように相手に働きかける仕組みがIPAの制度なのだから、そういうリスクをヘッジしたい人が利用すれば良いと思うんだよなー。いや、俺はそんなリスクぜんぶ見極められるし、相手が逆ギレ(社会的には逆ギレとは言えなかったりするけどね)しない自信もあるから、だから直接言うんだゴルァという人は自分で働きかける方を選べば良いと思うけどね。ただその場合も現行の法律の考え方とか定義されている不正アクセスの範囲とかを咀嚼しておくと安全なのかな、と思うなー。

だから結局知り合い同士とか、人間関係の中で、ということになるのかな。この直接指摘モデルは。


にしても焼肉と寿司かw。とりあえずシースー画像で↓↓。

f:id:sonodam:20080605224934j:image

f:id:sonodam:20090816130359j:image

*1:そこの考え方がそもそも違うのかも知れないけどねw

トラックバック - http://d.hatena.ne.jp/sonodam/20100223/p1