Shibuya.pmでのIPA特別企画対談中のTL
「3ヶ月経っても脆弱性なおさないサイトはリストで公開」ってIPAデスノートか #shibuyapm
2010-09-30 19:59:59脆弱性を直さないサイト対策、たとえば twitter のボットこさえてそいつにつぶやかせるとか> @sonodam #shibuyapm
2010-09-30 20:00:03「脆弱性連絡してくるIPAがうざい。」と言って国外逃亡した Perl monger の人もいましたね。 #shibuyapm
2010-09-30 20:03:24「なんでうちの図書館ばっかり騒がれるんだ。とかあるじゃないですか」 http://live.streamingmedia.jp/shibuyapm/ #shibuyapm
2010-09-30 20:05:08#shibuyapm 外注して作ったもんだから修正依頼したらコストかかるのがイヤだとかが大半な気が。あと作った人もういないとか。まあそれもどうなの?だけどなー
2010-09-30 20:06:11しかし、IPAに脆弱性が届け出られて、一年以上脆弱性が放置されている案件がこんなに多いのか #shibuyapm
2010-09-30 20:06:17マジレスすると、直さないサイトを全て一律に扱うのではなく、サイトに脆弱性があった場合の社会的影響度も考慮したうえで、脆弱性があることを公開するかどうか考えないと駄目だよね。 #shibuyapm
2010-09-30 20:06:27直してくれたのが何%、直してくれてないのが何%って公開して、個別にあんたんとこはこのレベル、って通知してあげたらどうだろう #shibuyapm
2010-09-30 20:06:58IPA の脆弱性連絡と修正のモチベーション。連絡しても脆弱性を修正しないで放置するサービスが多い。 #shibuyapm
2010-09-30 20:07:24自社サービスの脆弱性だったら直せるのに直さないリスクは自分にも返ってくる報告してくれたら普通は5秒で対応されるけど、受託開発とかは難しそうな問題な気がする。 #shibuyapm
2010-09-30 20:07:28#shibuyapm 個人や企業がやると捕まる、はその通りだなー。プロキシないとマジでこわい。図書館じゃないけもさ。
2010-09-30 20:07:43逆に脆弱性があるサイトが放置されたまんま長期化することで、そのサイト運営者以外にリスクあるの?IPA のそれに対して負う責任の度合いがよくわからない #shibuyapm
2010-09-30 20:07:46通知後3ヶ月経過したら伏字で公開。その後1ヶ月ごとに1文字ずつ伏字が明かされるという「クイズタイム小学生」ルールはどうか? http://live.streamingmedia.jp/shibuyapm/ #shibuyapm
2010-09-30 20:08:00