アカウント名:
パスワード:
対価を目的とするプロをさげすみ、無償の純粋な努力と行動を至上とするアマチュアリズム [wikipedia.org]が過去のイギリスに存在した。「無償の純粋性」という考えは見かけは立派だがむろん裏があり、つまり無償で動けるだけの地位と財産を持った上流階級が作った倫理であって、これは公益に対するエリート(イギリスでは上流階級用学校卒のこと)のノブレスオブリージュとも通底する。ただし階級社会イギリスといえどもアマチュアリズムは過去のものとなりつつある。
と思っていたらこんなところに残っていやがった、というのが正直な感想。公益のために無償でやれってか。
性善説に基づいた無償の善意で成り立つそう思っているってことなのかな
# 国策ですし失敗実績とならないよう現場が苦労するんだろうなぁ
ギガジンの記者が発狂しそうなネタだなこれw結局ソネット側は先週修正かけたみたいだけど。
実質、MODがセキュリティ企業のアナリスト、テスターなどに仕事を発注する際のガイドラインなんじゃないすかね?禁じてるのは「脆弱性の開示に金銭的な報酬を要求すること」で、「報酬を貰った(MODから発注を受けた)うえで、脆弱性の調査・報告すること」は禁じてないわけですし。
大雑把に言えば「このガイドラインに従って調査、報告、テストをしてくださいね。記載した範囲内の行為なら合法が保証されますので、面倒な手続きも、契約も、法律確認も必要ありませんよ。」というMODからの業務指示書的な側面が強いのかと思えます。
Report a vulnerability on an MOD system [www.gov.uk]より引用
It does not give you permission to act in any manner that is inconsistent with the law,or which might cause the MOD or partner organisations to be in breach of any legal obligations.
意訳:このガイドラインはMODや、そのパートナー企業に超法規的な行動を許可するものではない。
…と、わざわざパートナー企業についても触れていたことから、なんかそう思いました。
# いやナイトの制度があるイギリスなら、叙勲するに値する善人を探している可能性がワンチャン…?!
もしくは誰も利用せず英国には脆弱なシステムは存在しないシステムすら紳士の国の証という布石なのかもしれない
もしくは誰も利用せず英国には脆弱なシステムは存在しない
壮大なブリティッシュジョークの布石だったのか…上記から沈没船ジョーク [wikipedia.org]を思い出したので改変。-----世界各国の国防システムの脆弱性が狙われています。しかし対策をするも、脆弱性は次から次へと発見され悪用されてしまいます。各国の偉い人は、自国の技術者に脆弱性を報告して欲しいと頼むことにしました。さて、偉い人が放った言葉は何でしょう?
アメリカ「報告すれば褒賞金を出しますよ。これで君もヒーローだ!」
ロシア「報告の過程でアメリカ攻撃しても政府公認にしますよ [zdnet.com]」
イギリス「紳士はこういう時に無償で報告するものです。見返りを求めるなどありえません」
イタリア「システム開発の女性エンジニアが困っていまして…」
ドイツ「規則ですので報告してください」
日本「他のみなさんはもう報告しましたよ [ipa.go.jp]」
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。結果、悪事を働くために情報を求めてる層に情報は流れる。
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針やそのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。
まあ女王名義の感謝状とか、低度の勲章とか、出せば良いのにとは思う。
円周率の小切手を出せばいいのにね
一昔前なら犯罪者との取引には相応のリスクがあったもんだけど、今は身元も明かさず暗号通貨で証拠も残さず完結できるしねー
自分の顔も相手の顔も見えない完全匿名の世界で聖人君子ヅラできる「人間」ってどの程度いるんだろうね?
まーその理屈で行くと、報奨金を出しても悪の組織がより高い買値や代償を提示すれば情報はそっちに流れることになるんですが、しかし少なくとも脆弱性を探す行為がトレジャーハントでは無くなりますね。悪行にはリスクがあるのでそれを実行する人間は限られると思いますが、善行にもコストは掛かるので報酬が無ければ意欲の減退は避けられない。
一方日本で個人が脆弱性を好評すれば警察に逮捕され、司法から犯罪者にされます脆弱性を放置した企業には何のお咎めもありません
権力を身内と利益供与者の為にだけ利用するだけで無能では無いと思うけどなぁ
好評するならそうだろうな。
放置と修正出来ないは全く異なる状況なのに外からは見分けがつかないんだよね
押収して修正不能にしておいて修正しないから悪意ありと見做し有罪までが判例として残っちゃってるしねぇhttps://srad.jp/story/06/12/13/0129256/ [srad.jp]
公表した時と同じ勢いで警察に反論できない無能チキンは何がしたいの?
やってないわけじゃねーよと言う為にやってるだけで、真面目に運用する気はないんじゃないかねこれ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
イギリス風ノブレスオブリージュあるいはアマチュアリズムだなあと思う (スコア:3, 興味深い)
対価を目的とするプロをさげすみ、無償の純粋な努力と行動を至上とするアマチュアリズム [wikipedia.org]が過去のイギリスに存在した。「無償の純粋性」という考えは見かけは立派だがむろん裏があり、つまり無償で動けるだけの地位と財産を持った上流階級が作った倫理であって、これは公益に対するエリート(イギリスでは上流階級用学校卒のこと)のノブレスオブリージュとも通底する。ただし階級社会イギリスといえどもアマチュアリズムは過去のものとなりつつある。
と思っていたらこんなところに残っていやがった、というのが正直な感想。公益のために無償でやれってか。
セキュティとは (スコア:1)
性善説に基づいた無償の善意で成り立つ
そう思っているってことなのかな
# 国策ですし失敗実績とならないよう現場が苦労するんだろうなぁ
Re:セキュティとは (スコア:1)
ギガジンの記者が発狂しそうなネタだなこれw
結局ソネット側は先週修正かけたみたいだけど。
Re:セキュティとは (スコア:1)
実質、MODがセキュリティ企業のアナリスト、テスターなどに
仕事を発注する際のガイドラインなんじゃないすかね?
禁じてるのは「脆弱性の開示に金銭的な報酬を要求すること」で、
「報酬を貰った(MODから発注を受けた)うえで、脆弱性の調査・報告すること」
は禁じてないわけですし。
大雑把に言えば
「このガイドラインに従って調査、報告、テストをしてくださいね。
記載した範囲内の行為なら合法が保証されますので、
面倒な手続きも、契約も、法律確認も必要ありませんよ。」
というMODからの業務指示書的な側面が強いのかと思えます。
Report a vulnerability on an MOD system [www.gov.uk]より引用
It does not give you permission to act in any manner that is inconsistent with the law,
or which might cause the MOD or partner organisations to be in breach of any legal obligations.
意訳:このガイドラインはMODや、そのパートナー企業に超法規的な行動を許可するものではない。
…と、わざわざパートナー企業についても触れていたことから、なんかそう思いました。
# いやナイトの制度があるイギリスなら、叙勲するに値する善人を探している可能性がワンチャン…?!
Re:セキュティとは (スコア:1)
# いやナイトの制度があるイギリスなら、叙勲するに値する善人を探している可能性がワンチャン…?!
もしくは誰も利用せず
英国には脆弱なシステムは存在しない
システムすら紳士の国の証
という布石なのかもしれない
Re:セキュティとは (スコア:2, 参考になる)
もしくは誰も利用せず
英国には脆弱なシステムは存在しない
壮大なブリティッシュジョークの布石だったのか…
上記から沈没船ジョーク [wikipedia.org]を思い出したので改変。
-----
世界各国の国防システムの脆弱性が狙われています。
しかし対策をするも、脆弱性は次から次へと発見され悪用されてしまいます。
各国の偉い人は、自国の技術者に脆弱性を報告して欲しいと頼むことにしました。
さて、偉い人が放った言葉は何でしょう?
アメリカ「報告すれば褒賞金を出しますよ。これで君もヒーローだ!」
ロシア「報告の過程でアメリカ攻撃しても政府公認にしますよ [zdnet.com]」
イギリス「紳士はこういう時に無償で報告するものです。見返りを求めるなどありえません」
イタリア「システム開発の女性エンジニアが困っていまして…」
ドイツ「規則ですので報告してください」
日本「他のみなさんはもう報告しましたよ [ipa.go.jp]」
これは失敗 (スコア:1)
なにかの情報を開示するのに、その情報と引き換えにお金をくれるところと、くれないところがあったら、お金をくれるところに開示したくなるのが人情。
それがたとえ悪事に使われるとわかっていても、お金の魅力には勝てない。
だから報奨金はそのために支払う。
悪事を働くために求めてる層よりも、正規の報奨金は多少少なくとも問題ない。
いい事をしてお金を貰う。だからシステムが回る。
それをお金を出すの止めちゃったら、金持ちしか情報を開示しなくなる。
金持ちだけの開示でも問題ないなら良いが、現実には金持ちがその情報を持っていることは稀。
結果、悪事を働くために情報を求めてる層に情報は流れる。
Re: (スコア:0)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
Re:これは失敗 (スコア:1)
ソフトウェアやサービスの脆弱性って企業クラスだと「のこのこ出てきた奴さえ罰すれば
悪用や攻撃による被害自体は他責にできるから問題ない」っていうおかしな挙動をしがち
だから「実際の悪用や攻撃が起こる前に報告を受け取って先手で対応する」という方針や
そのための内部の手続きが事前に決まってるだけでも十分価値がある
被害の範囲は報告者や当該の団体に留まらず
関係のない一般人まで情報を盗まれたりするわけだから
その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
Re: (スコア:0)
> その観点で言うと「報告者が訴追されない」だけでは不十分で、「脆弱性を作り込んだ側からの責任追及(民事訴訟など)に対して、当局が代行して対応し、賠償なども必要なら行う」があって然るべき、じゃないかなぁ。
金銭的補償を「0」に設定してしまってるから無理。「訴訟代行行為」や「賠償肩代わり」は明らかに金銭的補償に見えるので。
Re: (スコア:0)
まあ女王名義の感謝状とか、低度の勲章とか、出せば良いのにとは思う。
Re: (スコア:0)
円周率の小切手を出せばいいのにね
Re: (スコア:0)
一昔前なら犯罪者との取引には相応のリスクがあったもんだけど、
今は身元も明かさず暗号通貨で証拠も残さず完結できるしねー
自分の顔も相手の顔も見えない完全匿名の世界で聖人君子ヅラ
できる「人間」ってどの程度いるんだろうね?
Re: (スコア:0)
まーその理屈で行くと、報奨金を出しても悪の組織がより高い買値や代償を提示すれば情報はそっちに流れることになるんですが、
しかし少なくとも脆弱性を探す行為がトレジャーハントでは無くなりますね。
悪行にはリスクがあるのでそれを実行する人間は限られると思いますが、善行にもコストは掛かるので報酬が無ければ意欲の減退は避けられない。
日本がIT後進国となった理由は司法の無知無能 (スコア:1)
一方日本で個人が脆弱性を好評すれば警察に逮捕され、司法から犯罪者にされます
脆弱性を放置した企業には何のお咎めもありません
Re: (スコア:0)
権力を身内と利益供与者の為にだけ利用するだけで無能では無いと思うけどなぁ
Re: (スコア:0)
好評するならそうだろうな。
放置と修正出来ないは全く異なる状況なのに外からは見分けがつかないんだよね
Re:日本がIT後進国となった理由は司法の無知無能 (スコア:1)
放置と修正出来ないは全く異なる状況なのに外からは見分けがつかないんだよね
押収して修正不能にしておいて
修正しないから悪意ありと見做し有罪
までが判例として残っちゃってるしねぇ
https://srad.jp/story/06/12/13/0129256/ [srad.jp]
Re: (スコア:0)
公表した時と同じ勢いで警察に反論できない無能チキンは何がしたいの?
アリバイ作り? (スコア:0)
やってないわけじゃねーよと言う為にやってるだけで、
真面目に運用する気はないんじゃないかねこれ。