編集部が選ぶ「みんなに見てほしい」イチオシまとめはこちら

Shibuya.pmでのIPA特別企画対談中のTL

「身につけておきたい、今そこにあるシステムの救命措置 パネルディスカッション形式での対談」
IPA shibuya.pm
2842view 0コメント
2
ǝunsʇo ıɯnɟɐsɐɯ @otsune
「3ヶ月経っても脆弱性なおさないサイトはリストで公開」ってIPAデスノートか #shibuyapm
Dan Kogai @dankogai
脆弱性を直さないサイト対策、たとえば twitter のボットこさえてそいつにつぶやかせるとか> @sonodam #shibuyapm
ささぽん @shamoshamo
こんなぶっちゃけた前提がしゃべれる人も珍しい気がする。しかもJPAじゃなくてIPA。 #shibuyapm
KOYAMA Tetsuji @koyhoge
#shibuyapm こういう話題だとはまちちゃんの登場が待たれる
941🖖 LINE DevRel @941
晒しちゃえばいいじゃない、とは思うけど自分とこがなったらと思うと素で困るから何とも言えないよなあ #shibuyapm
tagomoris @tagomoris
「あの家の鍵があいてるよ」って大声で触れて回ったら多分逮捕されるよね #shibuyapm
Yosuke HASEGAWA @hasegawayosuke
「脆弱性連絡してくるIPAがうざい。」と言って国外逃亡した Perl monger の人もいましたね。 #shibuyapm
ǝunsʇo ıɯnɟɐsɐɯ @otsune
「なんでうちの図書館ばっかり騒がれるんだ。とかあるじゃないですか」 http://live.streamingmedia.jp/shibuyapm/ #shibuyapm
Dan Kogai @dankogai
まじめな話、通知後も一定時間未対策なものは公開でいいと思う> @sonodam #shibuyapm
Kensuke Nagae @kyanny
#shibuyapm 晒しあげはきついよなー、それで真摯に対応するところなら放置しないよね
tk0miya @tk0miya
脆弱性をサンプリングするためのクローラーが図書館システムを落とすという未来予想図を見た。 #shibuyapm
Takayuki Hirayama @orangevtr
#shibuyapm 外注して作ったもんだから修正依頼したらコストかかるのがイヤだとかが大半な気が。あと作った人もういないとか。まあそれもどうなの?だけどなー
Makoto Kaga @makotokaga
しかし、IPAに脆弱性が届け出られて、一年以上脆弱性が放置されている案件がこんなに多いのか #shibuyapm
Yosuke HASEGAWA @hasegawayosuke
マジレスすると、直さないサイトを全て一律に扱うのではなく、サイトに脆弱性があった場合の社会的影響度も考慮したうえで、脆弱性があることを公開するかどうか考えないと駄目だよね。 #shibuyapm
Kaoru Maeda 前田 薫 @mad_p
直してくれたのが何%、直してくれてないのが何%って公開して、個別にあんたんとこはこのレベル、って通知してあげたらどうだろう #shibuyapm
Toru Kobayashi @koba04
穴があるっていうより、「こじ開けれた!」っていう意識が報告された方にあるのかな。 #shibuyapm
伏原 幹 @__kan
「このまま放置しとくと晒されるんです!」といって(上の)説得に使える、という側面はある気がしないでもない #shibuyapm
Craftworks @Craftworks
IPA の脆弱性連絡と修正のモチベーション。連絡しても脆弱性を修正しないで放置するサービスが多い。 #shibuyapm
Ryuta Kamizono @kamipo
自社サービスの脆弱性だったら直せるのに直さないリスクは自分にも返ってくる報告してくれたら普通は5秒で対応されるけど、受託開発とかは難しそうな問題な気がする。 #shibuyapm
ueblog @ueblog
#shibuyapm リスクを金額に換算して経営者に伝えないといかんのでは
Kensuke Nagae @kyanny
#shibuyapm 個人や企業がやると捕まる、はその通りだなー。プロキシないとマジでこわい。図書館じゃないけもさ。
nipotan @nipotan
逆に脆弱性があるサイトが放置されたまんま長期化することで、そのサイト運営者以外にリスクあるの?IPA のそれに対して負う責任の度合いがよくわからない #shibuyapm
ǝunsʇo ıɯnɟɐsɐɯ @otsune
通知後3ヶ月経過したら伏字で公開。その後1ヶ月ごとに1文字ずつ伏字が明かされるという「クイズタイム小学生」ルールはどうか? http://live.streamingmedia.jp/shibuyapm/ #shibuyapm
941🖖 LINE DevRel @941
受託開発の場合、修正のための作業にコストが発生しちゃう場合もあるだろうから何ともなあ #shibuyapm
jams.nisin @jamsnisin
明かるい未来にむけて、あってほしい法体系とかじゃないかな? #shibuyapm
残りを読む(49)
ログインして広告を非表示にする
ログインして広告を非表示にする