アカウント名:
パスワード:
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。結果、悪事を働くために情報を求めてる層に情報は流れる。
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針やそのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。
まあ女王名義の感謝状とか、低度の勲章とか、出せば良いのにとは思う。
円周率の小切手を出せばいいのにね
一昔前なら犯罪者との取引には相応のリスクがあったもんだけど、今は身元も明かさず暗号通貨で証拠も残さず完結できるしねー
自分の顔も相手の顔も見えない完全匿名の世界で聖人君子ヅラできる「人間」ってどの程度いるんだろうね?
まーその理屈で行くと、報奨金を出しても悪の組織がより高い買値や代償を提示すれば情報はそっちに流れることになるんですが、しかし少なくとも脆弱性を探す行為がトレジャーハントでは無くなりますね。悪行にはリスクがあるのでそれを実行する人間は限られると思いますが、善行にもコストは掛かるので報酬が無ければ意欲の減退は避けられない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
これは失敗 (スコア:1)
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。
それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。
悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。
いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。
金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。
結果、悪事を働くために情報を求めてる層に情報は流れる。
Re: (スコア:0)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
Re:これは失敗 (スコア:1)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
Re: (スコア:0)
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。
Re: (スコア:0)
まあ女王名義の感謝状とか、低度の勲章とか、出せば良いのにとは思う。
Re: (スコア:0)
円周率の小切手を出せばいいのにね
Re: (スコア:0)
一昔前なら犯罪者との取引には相応のリスクがあったもんだけど、
今は身元も明かさず暗号通貨で証拠も残さず完結できるしねー
自分の顔も相手の顔も見えない完全匿名の世界で聖人君子ヅラ
できる「人間」ってどの程度いるんだろうね?
Re: (スコア:0)
まーその理屈で行くと、報奨金を出しても悪の組織がより高い買値や代償を提示すれば情報はそっちに流れることになるんですが、
しかし少なくとも脆弱性を探す行為がトレジャーハントでは無くなりますね。
悪行にはリスクがあるのでそれを実行する人間は限られると思いますが、善行にもコストは掛かるので報酬が無ければ意欲の減退は避けられない。