アカウント名:
パスワード:
「mixi社にとって既知の脆弱性」には賞品が支払われないそうですが、mixi社にとって既知かどうかは外部からは検証不能なので、mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば結果として無料で脆弱性が診断されて美味しいね。
既知の脆弱性は全部ドキュメントにして公開鍵暗号で暗号化したうえで公開しておき、「mixi社にとって既知です」と宣言するときにはその脆弱性に対応する秘密鍵を通報者にはこっそり明らかにするとかしないとフェアじゃないよね。
もちろん、「公開された脆弱性が増えた」ことが攻撃者の情報にならないように、脆弱性が増えなくても毎日一つダミーデータをアップロードするとかして隠蔽するのは勿論必須でしょうが。
mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば結果として無料で脆弱性が診断されて美味しいね。
「じゃあなんで今まで放置してたんだゴルァ」と突っ込まれて炎上するのがオチかと。
「少し前に自分らで気がついて対応中だった。」とか。
「おしい、あと1日はやければ賞金だったのに」のほうが確実かと。
将棋で自分の王様が詰んだ時に相手に王手をかけて「おしい、あと一手で勝ったのに」と言った人がいたのを思い出したよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
mixi社にとって既知かどうかなんて外部には分からない (スコア:0)
「mixi社にとって既知の脆弱性」には賞品が支払われないそうですが、
mixi社にとって既知かどうかは外部からは検証不能なので、
mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば
結果として無料で脆弱性が診断されて美味しいね。
既知の脆弱性は全部ドキュメントにして公開鍵暗号で暗号化したうえで公開しておき、
「mixi社にとって既知です」と宣言するときにはその脆弱性に対応する秘密鍵を
通報者にはこっそり明らかにするとかしないとフェアじゃないよね。
もちろん、「公開された脆弱性が増えた」ことが攻撃者の情報にならないように、
脆弱性が増えなくても毎日一つダミーデータをアップロードするとかして
隠蔽するのは勿論必須でしょうが。
Re: (スコア:0)
mixi社が報告して貰った脆弱性を全部「既知です!」と言い張れば
結果として無料で脆弱性が診断されて美味しいね。
「じゃあなんで今まで放置してたんだゴルァ」と突っ込まれて炎上するのがオチかと。
Re: (スコア:2)
「少し前に自分らで気がついて対応中だった。」とか。
Re: (スコア:0)
「おしい、あと1日はやければ賞金だったのに」
のほうが確実かと。
Re:mixi社にとって既知かどうかなんて外部には分からない (スコア:0)
将棋で自分の王様が詰んだ時に相手に王手をかけて
「おしい、あと一手で勝ったのに」と言った人がいたのを思い出したよ。