世界にご奉仕するはまちちゃんの話。そして、なぜセキュリティな人(の一部)は騒ぎを好むのか。 - いぬビーム
Ikepyonさんの処経由。
えーと、あまりにも『危険過ぎる』考えですヨ。しかもこれに類する事が過去に現実に起きてますから。orz
(自分もその現場にいましたが)AD200xの場においてヤッチャッタという事件があり、結果IPAが旗振り役となって脆弱性報告のワークフローが実現した(JVNなど)訳なので。
脆弱性情報を公開する事自体を否定する訳ではないです。でも公開に当たっては……
公開する時期
内容する内容
公開する事による社会的影響
……この3点を十分に検討を重ねる事という前提条件を満たす必要がある事を忘れてはいけないです。
(技術・知識を)知っている者は、知っているが故に自制する事が求められます。セキュリティに関する事については「特に」です。
自制する事が出来ない人はセキュリティ界隈に関わっちゃいけないです。それが出来ない人は「Black Hat(※)」以外の何者でもないですから。
---
(※)「クラッカー」や「悪意ある攻撃者」の意味の方。同名のテクニカルセミナーの方じゃないです。
Ikepyonさんの処経由。
もしはまちちゃんがIPAのガイドラインに従っていたら、脆弱性連絡→修正→公表というプロセスが、滞りもなく行われてたでしょう。
でも若きセキュリティな人は思うのです。
「もっと多くの人に知らしめる方法があるのではないか?
……たとえ、この身を滅ぼす危険があろうとも」
(「世界にご奉仕するはまちちゃんの話。そして、なぜセキュリティな人(の一部)は騒ぎを好むのか。(いぬビーム)」より引用)
えーと、あまりにも『危険過ぎる』考えですヨ。しかもこれに類する事が過去に現実に起きてますから。orz
(自分もその現場にいましたが)AD200xの場においてヤッチャッタという事件があり、結果IPAが旗振り役となって脆弱性報告のワークフローが実現した(JVNなど)訳なので。
脆弱性情報を公開する事自体を否定する訳ではないです。でも公開に当たっては……
……この3点を十分に検討を重ねる事という前提条件を満たす必要がある事を忘れてはいけないです。
(技術・知識を)知っている者は、知っているが故に自制する事が求められます。セキュリティに関する事については「特に」です。
自制する事が出来ない人はセキュリティ界隈に関わっちゃいけないです。それが出来ない人は「Black Hat(※)」以外の何者でもないですから。
---
(※)「クラッカー」や「悪意ある攻撃者」の意味の方。同名のテクニカルセミナーの方じゃないです。