[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:05322] Re: セキュリティ指摘を受けたときの正しい対応手順とは

国分です。

> >管理者が指摘者に対し、
> >再現手段を明確にする目的に限って不正な操作を承諾してあげれば
> >よくないですかね?
> 
> 仮に、法律的に見て問題ない許可を管理者が指摘者に行なったと仮定しても、
> 許可する以前に行なった不正アクセスだと判断される行為を免責するものでは
> ないですよね。

私もそう思いました。

> サイト管理者が、自サイトに対して善意で行なわれた脆弱性報告が犯罪になる
> ことを避けようと考えたと仮定して、現状それを実現する方法ってあるんでしょ
> うか?

脆弱性報告を歓迎するつもりがあるならば、
「調査を承諾するので、調査の前にご連絡ください」って
出せるんじゃないでしょうか。

もちろん無制限の承諾は危険なので、
条件として守秘義務契約を盛り込んだり、調査を承諾する範囲を限定したり、
指摘者の動きをコントロールしながらになるとは思いますけど。

-- 
// Yutaka Kokubu <bun@xxxxxxxxxx>