アカウント名:
パスワード:
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。結果、悪事を働くために情報を求めてる層に情報は流れる。
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針やそのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
これは失敗 (スコア:1)
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。
それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。
悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。
いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。
金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。
結果、悪事を働くために情報を求めてる層に情報は流れる。
Re:これは失敗 (スコア:0)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
Re:これは失敗 (スコア:1)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
Re: (スコア:0)
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。