mixi、脆弱性報告制度における報酬支払いを渋る? 58
ストーリー by hylom
詳細の公開をmixiに期待したい 部門より
詳細の公開をmixiに期待したい 部門より
あるAnonymous Coward 曰く、
MicrosoftやGoogleなどの海外大手企業では、ネットサービスやソフトウェアなどの脆弱性の発見者に対し報奨金を進呈する制度がある。これを見習ってmixiも同様の制度を昨年期間限定で行ったのだが(過去記事)、脆弱性を報告した際のmixiの報酬支払いが「渋い」ことが告発されている(mixiの脆弱性報告制度について)。
これによると、このブログ主は合計で14件の脆弱性を発見したのだが、そのうち報酬が支払われたのは4件。「他人のデータを閲覧・改ざんできる問題」については脆弱性ではない、もしくは軽微な脆弱性と判断され報酬が支払われなかったほか、SQLやXSSなど、原因が同じ脆弱性については1つにまとめられてしまったそうだ。これに対し、ブログ主は
「性質」が「同種」の場合にまとめて1件としてカウントするということだが、機能やパラメータの異なるSQLの脆弱性をすべてまとめて1件とカウントして報酬を渋るミクシィセキュリティチームの対応はおかしいのではないか
脆弱性ではない、もしくは軽微と判断して報酬を支払わないのであれば脆弱性は修正せず、放置しておくべきだろう。報酬も支払わずに脆弱性を修正する態度は、脆弱性を発見した人に対して失礼である
と苦言を呈している。
とはいえこれはブログ主の一方的な主張であるため、mixi側の見解も知りたいところである。Googleなどは寄せられた脆弱性を修正した際、報告者と支払った報酬を公開しているが、mixiにもこれに習って寄せられた脆弱性の内容や支払った報酬を公開してほしいところだ。
あくまでも門外漢の斜め上な邪推だとは思いますが (スコア:5, 興味深い)
自ら自サイトの脆弱性の指摘を募集したにも関わらず、こういった態度をとる企業って、
社風として、極端に業務上のミスを許せないところがあるんじゃないか、と思います。
そんな会社ならば、指摘された脆弱性(ミス)の内容が上の人間に知れると
「なんでこんな不具合があるんだ! テストの予算もやっただろ!」と担当者や部門が叱られてしまう。
だから指摘された脆弱性(ミス)は、少しでも数を少なく、影響が小さいものとしたい、
そんな心理が働いたりするのではないでしょうか?
そして結果、指摘者に対し「あなたが指摘したものは、実際はそんなに数多くないし、
大してクリティカルでもないし、あんま騒がないでくれないかな?(上に知れるとやっかいなんだよ)」
みたいな態度を取る、と。
いやね、私が勤めている一般小売業の世界だと、
例えば、お客さんのアンケート用紙に「店の壁に隙間があって、雨水がにじんでいたよ」などと書かれた日にゃぁ、
そこの店長は上司からかなりどやされますからね。
「水がにじむ程度の段階で見つかって良かった」なんてことはありません。
と、話しが脱線しましたが、もしそんな環境ならば、ミスを隠したくなるんじゃないかなぁ。
もちろん、大人としてそれはダメなんですけどね。
mixiが発しているメッセージ (スコア:2)
複数の脆弱性を発見した場合、
を選べ、というメッセージだな。
しかし、金払いを渋るなら、せめて名誉だけでも与えてやればいいのにね。
Re:mixiが発しているメッセージ (スコア:1)
> 報告せずに悪用するか
mixiで?
う~ん……。
「ぼくはまちちゃん!」と書き込ませるくらいしか、
有益な悪用が思い付かない……。
Re: (スコア:0)
スパムかフィッシングの役にくらいは立つんじゃね?
Re: (スコア:0)
他人のデータにアクセス、改ざんが出来るぜい弱性もあったそうですから、
オレオレ詐欺位には使えそう。
Re: (スコア:0)
半年で80万円か。
たぶん、この人は遊びじゃなくて副業かなんかとして脆弱性の調査をしてるんだろう。
名誉なんかもらってもしょうがないんじゃないかな。
つまり裏をかいて (スコア:2)
似たり寄ったりのバグは、時間を置いてから報告すればいいのかな。
パラメーターの違うSQL文なんかは、1度で修正されなければ
後日報告すれば別のバグとして取り扱われるのでは?
どちらにせよmixiは潔くないと思うけど。
Re: (スコア:0)
脆弱性のオークションサイトがあるとする。
脆弱性の発見者は企業の脆弱性情報を出品して、高く売る。
攻撃者が落札した場合。
攻撃者はまず、その企業の株を空売りする。
次に攻撃者はその脆弱性を使って、個人情報を盗み出す。
入手した個人情報は派手に売りさばく。
すると、個人情報が漏洩したことがニュースになり、株価が下がる。
攻撃者は株を安値で買い戻し、差額を利益にする。
こうならないように企業がすべきことは…?
Re:つまり裏をかいて (スコア:2)
企業が出来ることは2つ。
一つは、脆弱なシステムを作らないように努力し、個人情報の漏洩等でニュースにならないようにする。
もうひとつは、どんどん脆弱なシステムを作って、個人情報の漏洩程度ではニュースにならないようにする。
Re: (スコア:0)
バグを隠すならバグの中ってことですか
Re: (スコア:0)
脆弱性の発見者を逮捕して口封じですね
薄謝でもくれるだけマシ (スコア:2)
報告すると、それは「known Problem」だとか、あたかも、そんなのもう気が付いていたよ
みたいな対応ばかりで、やる気をなくしたものです。
多少でも評価してもらえるなら、やる気が湧くことでしょう。
Re:薄謝でもくれるだけマシ (スコア:2, 興味深い)
リリースされてから半年以上経ってるOpenSourceの某ソフトのBug報告したら、
それはもう手元のコードでは修正済みだよ。コードはまだコミットしてないけどね。
とかでイラッとするとともにやる気がごっそり削がれた事があったな。
LinuxのKernel moduleも本家に反映されるまで半年とかあったりしたなぁ。
Re: (スコア:0)
わかる
手元のコードなんて知らねーよって感じ
さっさとコミットするか、知ってるよって告知しとけよって話
Re: (スコア:0)
直してないのに告知するのはアホだろw
Re: (スコア:0)
個人的経験だが、反対の例もあげねばなるまい。
とある古いOSSソフトが新しいバージョンでエンバグしたので、保守するプロジェクトのフォーラムに連絡したら、数日後gitに修正がコミットされて、治したという投稿がフォーラムにあがった。
もちろん、「バグ報告ありがとうございます」。
「修正対応ありがとうございます」で終了。
リリースはもうしばらく後だったけど。
Re:薄謝でもくれるだけマシ (スコア:2, 興味深い)
これね。そうなんだよね。
再現手順を確認・最小化したり、コンパクトにまとめるとかかなりの手数だよ。
そうやって報告として役に立つようにと努力したことが無に帰する。
結果として無になるならまだしも、最初から無駄だったと思った時の脱力感。
Thank youの一言でもあるとだいぶ違うんだけどね。
MSのテクニカルベータだとと、そういう扱い受けたレポートでも数に入って
大抵最後にその製品もらえたりするから、参加してみたら?
Re: (スコア:0)
Windows日本語版リリース間近のときに、
ビルドが更新されたら、あるルーチンでバグが出て、
レポートしたらMSから直接電話が来たことがあった。
話し合いの末、ビルドを戻すことになったけど、
そのときは参加しているという感じがしたね。
お礼は何もなかったけど。
Re:薄謝でもくれるだけマシ (スコア:2)
> お礼は何もなかったけど。
その電話でお礼の言葉なかったんですか?
Re:薄謝でもくれるだけマシ (スコア:1)
全く同意できません。傲慢さを感じますし、そんな考え方で普段の開発が効率よくできるのか・周囲は何も言わないのかと不思議に思います。
私は普段開発の側にいます。他の人が担当している部分で不具合を見つけたら報告もしますし、いわゆるオープンソースのものでも報告することがあります。
開発者側から見て、バグレポートは確実に再現するなら再現方法が短い方が良いですし、あまり長いのも必要な情報をピックアップするのに手間がかかります。
パッチの提供も実装方法はともかくコードの対応部分まで調べられているのですから、問題解決への時間は大きく変わります。
試してみて動作が変われば確かに影響している部分だということは分かるわけですから。
Re: (スコア:0)
開発者側から見れば、重要なのはバグのレポートであって、
再現手順の確認とか、最小化は、開発側でも行える作業です。
開発側から見れば所詮利用者でしか無い人が
「役に立つ」とか「努力」と言っても、
何を言ってんだか、と思われるだけです。
そうなの?
オープンソースの開発を行っている側からすると、バグがあるという指摘だけでなく
詳細な再現手順や解決するパッチがあると助かりますよ。
Re:薄謝でもくれるだけマシ (スコア:1)
私もありがたいに同意します。
ありがたいので、逆にそういう風に否定しないで頂きたいと思います。
Re: (スコア:0)
報告する側としてはパッチはどう動くべきと考えているかを誤解される可能性が低く最良
報告される側としては共同著作者が増えると場合によっては面倒
Re: (スコア:0)
際限手順のないバグ報告なんかもらったって、
役に立たないのだが。
バグの修正をしたことがない人ですか?
Re:薄謝でもくれるだけマシ (スコア:1)
>際限手順のないバグ報告なんかもらったって、
>役に立たないのだが。
むしろ、際限なく発生させられる手順のほうがありがたいのでは?
Re: (スコア:0)
>所詮利用者でしか無い人
と言うのであれば、なぜ生産物を公開しているのですか?
利用者を神様と思えとまでは言わないが、利用者の存在を軽視するのであれば、公開する行為の意味がよくわからない。
>再現手順の確認とか、最小化は、開発側でも行える作業です。
開発側でも行える事であっても労力は変わりませんし、負担が減る(かも)という事実は変わらないでしょう。
「役に立つ」とか「努力」とかいう事の押し売りが来るのも面倒だとは思いますが。その旨断りを入れるなりして対策しておくべきでしたね。
Re:薄謝でもくれるだけマシ (スコア:1)
レスポンスがあるだけましかも。
穴見つけて報告してもなんの反応も無く、しばらくして穴塞がってるのに気が付いてそこはもう利用するの辞めた。
Re: (スコア:0)
報酬を支払う制度があるんだから、報酬を支払おうよって話じゃね?今回は・・・。
なんだろう、縁日の型抜き的なものを感じた (スコア:2)
ああ、ダメダメ 前の報告と一緒じゃん これじゃ報奨金出せないよ
# だみ声で再生
というかオワコン (スコア:0)
に、噛み付いてもしかたない。
Re: (スコア:0)
ところがそうでもないようで。
ミクシィ、今期は売上高3.3倍の400億円・営業益20倍の100億円へ 「モンスト」効果で急成長
http://www.itmedia.co.jp/news/articles/1405/14/news132.html [itmedia.co.jp]
世の中どう転ぶかわかりませんね。
Re: (スコア:0)
わかっていると思うけどその数字はあくまで見通しだぞ。
また、ほぼ一年ある中で来年の3月の決算ではどうなっているか
過去に大幅な見込みを下方修正した企業なんて大量にありますよ
Re: (スコア:0)
まあ数字がどこまで一致するかはともかく、ゲームのヒットが出たなら見通しは楽観していいと思うぞ。
Re: (スコア:0)
おお、これ開発は岡本さんなんですな。氏もmixiも両者ともオワコン扱いされてたのにヒット作を出すとはやるぅ。
Re: (スコア:0)
直近の経営見通しは楽観で良いんでしょうけれど、
「本業は全くもって振るわないが、ゲームだけはヒットした」
という実情は、楽観して良いものかどうか……。
mixiである意味、なくない?
Re:というかオワコン (スコア:1)
ソーシャルゲームが本業ってことなんでは?
GREE もそうなんだし。
DeNA なんて、創業事業の Bidders なんて、いま誰がつかってんだか。
Re: (スコア:0)
>DeNA なんて、創業事業の Bidders なんて、いま誰がつかってんだか。
売れた数の表示が酷い…
毎回思うこと (スコア:0)
脆弱性やバグレポートを送る前に、どこぞのサイトで公表してイジメであげればいいんじゃないの?
困るのは利用者然り、サポート然り。
Re: (スコア:0)
ついこの前、脆弱性をまともに修正せず残存させた奴 [srad.jp]を晒して叩かれた企業がある件
#なぜ公表前に開発に連絡しなかったとか叩かれるのが関の山
ブラックマーケットで売れば? (スコア:0)
闇市場の値より安値はつけられなくなるんじゃないの?
仮に脆弱性情報を売買したら何かの法で裁かれるのかな?
G社も (スコア:0)
某G社に報告したことがあるのですが、
「それはバグではない」の一点張りで、直接上の人に報告するまで相手にしてもらえませんでした。
一番末端の人はバグレポートすらロクに読んでないような感じでした。
結局数ヵ月後に修正されたのですが、報奨金なんてありませんでしたよ。
Re:G社も (スコア:1)
同じかG社か違うか判らんけど、昔G社のNetserviceのBug報告しようとしたけど、報告窓口が全く見当たらない事ならあったなぁ。
同時期に同社のSecurity報奨金のイベントやってたから一瞬そっちで報告しようかと思ったけど、
Securityは関心あるけどBugはどうでもいいのかと思えて結局萎えて報告すら辞めたけど。
Re: (スコア:0)
某G社がどこのことなのか存じませんが、「世界中の情報を整理し、世界中の人々がアクセスできて使えるようにする」観点から、世界中の(某G社の)バグ情報も収集・整理されたということなのではないでしょうか。
もちろん無料で。
Re: (スコア:0)
多分ゲイツ・カンパニー
Gはね (スコア:0)
自分がバグだという自覚がないんだよあいつらは。
たまに飛ぶくせに
mixiはケチです。 (スコア:0)
既知ならこれは既知って公開しとけよ。
mixiのサイトを見てみたけど報告してみないとわからない状態がそもそもおかしい。
俺がその情報のページ見つけられなかっただけかもしれないけど。
これはケチって言われても仕方ない
Re: (スコア:0)
脆弱性は修正が終わるまでは公開できないでしょう…
でも終わった分はちゃんと公開してくれないと困りますよねぇ
# しかし元記事を見ると mixi research は素人が作ってるのか…?
mixiが報奨金制度を導入している意図がわからない。 (スコア:0)
行動からは「評判を落としてでも、安くバグ検出したい」としか帰結しないし。
もうオークション制度にしたら? (スコア:0)
脆弱性情報がお金になるのなら、市場の原則に従って公開の場所で堂々と競りにかけたらよいではないか。犯罪者に競り落とされたくなければ、それ相応の金を積まなくてはならないだろうし、どうでもよい脆弱性なら金にならない。
守銭奴とか犯罪に荷担しているとか批判は受けるだろうけど、裏ではもうやってるんでしょ?
引っ込みつかなくなった (スコア:0)
Googleの真似して、開発者引き込んで「うちは技術でいくよー!」アピールしようとしたけど
うまくいかず、そのうちモンスト大人気で「mixiは飾りです。ソシャゲー会社にシフトしちゃおっと!」と思ったが
中途半端なアピールで引っ込みつかなくなり、金も回しにくく、このままフェードアウトしちゃおうかなー
…っていうように見える