アカウント名:
パスワード:
後半は納得できるんだけど、公開を遅らせるのはその時点でその脆弱性を知らない攻撃者による被害を避けるためで完全に合理的な処理だろうが。各社の報奨金プログラムではなく適当なCSIRTに叩きつけて規定公開日に自分でも公開、で良いじゃねぇか。
なんか、不満があるからって筋の通らん即日公開する奴が多すぎるな。非公開で連絡してくる奴に対してすら攻撃とか吐かして脅してくるクソ企業が多い中、セキュリティ研究者の立場は公益性でなんとか支えられているような物だっていうのに……公益のためには透明性のある報奨金プログラムが必要ってのはわかるけど、脅迫じみた手段を取ったら現在の体制による公益すら保てない可能性があると分かっているのかだろうか。
発見者が一人と、いつから錯覚していた?
適当なCSIRTを通してもベンダと発見者の間って企業対個人の関係になって、無期限NDA結ばされたり訴訟起こされたりリスク大きすぎるんじゃないのだって企業からしたら実害発生して顧客から訴訟起こされて賠償額が上がってきた時点で初めて「未発見でした、対策不能です、新製品買って」って強弁するのが完全に正しいし無用な問題起こすなってのは分かるけど海外だと問題がある時に声を上げないのは現状から後退することに異議ありませんって意見表明と見なされるし
脅迫にならないようにだけは注意が必要だが、CSIRTか企業どっちでもいいけど一方的に送りつけて期限で公開しときゃそれでいいだろう。態々直接やり取りしてNDA結びに行く必要はない。というかそんなNDA要求されたらそれこそ公開する名目が出来るかと。「修正する気がないNDAを要求してきたので危険周知のため即時公開します」とかね。
> 後退することに異議ありませんって意見表明この場合は前進しないで停滞するか、後退覚悟で強行するかの選択じゃないかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
0-dayの理由 (スコア:0)
後半は納得できるんだけど、公開を遅らせるのはその時点でその脆弱性を知らない攻撃者による被害を避けるためで完全に合理的な処理だろうが。
各社の報奨金プログラムではなく適当なCSIRTに叩きつけて規定公開日に自分でも公開、で良いじゃねぇか。
なんか、不満があるからって筋の通らん即日公開する奴が多すぎるな。
非公開で連絡してくる奴に対してすら攻撃とか吐かして脅してくるクソ企業が多い中、
セキュリティ研究者の立場は公益性でなんとか支えられているような物だっていうのに……
公益のためには透明性のある報奨金プログラムが必要ってのはわかるけど、
脅迫じみた手段を取ったら現在の体制による公益すら保てない可能性があると分かっているのかだろうか。
Re: (スコア:0)
発見者が一人と、いつから錯覚していた?
Re: (スコア:0)
適当なCSIRTを通してもベンダと発見者の間って企業対個人の関係になって、無期限NDA結ばされたり訴訟起こされたりリスク大きすぎるんじゃないの
だって企業からしたら実害発生して顧客から訴訟起こされて賠償額が上がってきた時点で初めて「未発見でした、対策不能です、新製品買って」って強弁するのが完全に正しいし
無用な問題起こすなってのは分かるけど海外だと問題がある時に声を上げないのは現状から後退することに異議ありませんって意見表明と見なされるし
Re: (スコア:0)
脅迫にならないようにだけは注意が必要だが、CSIRTか企業どっちでもいいけど一方的に送りつけて期限で公開しときゃそれでいいだろう。
態々直接やり取りしてNDA結びに行く必要はない。
というかそんなNDA要求されたらそれこそ公開する名目が出来るかと。
「修正する気がないNDAを要求してきたので危険周知のため即時公開します」とかね。
> 後退することに異議ありませんって意見表明
この場合は前進しないで停滞するか、後退覚悟で強行するかの選択じゃないかね。