アカウント名:
パスワード:
私はこの届出制度の提唱者・設計者・運用協力者・有識者研究会委員であり、IPAの広報が取材にこんな回答をしたのであれば、出鱈目であり、社会への悪影響(直ちに公表することが有効である事案が眠ってしまう)も無視できないのであるから、IPAが取り消し、ITmediaの記事を訂正させなければならない。 [twitter.com]
リアル私がこの理論の提唱者です案件強過ぎる。
>IPA「脆弱性や手口を不特定多数に公開するのは望ましくない」
そもそも今回のは「仕様」であって脆弱性ではなく、IPAに報告したところで何もしてくれないのでは...
ネットには「SQLインジェクションの脆弱性も」との噂があったのでITmediaの記者がそれを前提にIPAから得た回答を記事にしたんでしょうかねただしAERA・毎日・日経BPの記事はSQLインジェクションは記事にもしておらず、あくまで架空データ入力可能な「仕様」を報じているようです
「仕様」であることと「脆弱性」であることは排他ではない。今回は「仕様かつ脆弱性」のケース。仕様だからと修正しないのか、何らか緩和策を入れるのか、仕様そのものを見直すのかは開発者次第。修正しないとなった場合、その公表について開発者と調整してくれるのもIPAやJPCERT/CCの役目。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
浩光先生「IPAの回答は誤りです」 (スコア:3, 参考になる)
リアル私がこの理論の提唱者です案件強過ぎる。
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
>IPA「脆弱性や手口を不特定多数に公開するのは望ましくない」
そもそも今回のは「仕様」であって脆弱性ではなく、IPAに報告したところで何もしてくれないのでは...
ネットには「SQLインジェクションの脆弱性も」との噂があったのでITmediaの記者がそれを前提にIPAから得た回答を記事にしたんでしょうかね
ただしAERA・毎日・日経BPの記事はSQLインジェクションは記事にもしておらず、あくまで架空データ入力可能な「仕様」を報じているようです
Re:浩光先生「IPAの回答は誤りです」 (スコア:1)
// IPAが何もしないのはその通り。アレに何かさせちゃダメだ
Re: (スコア:0)
「仕様」であることと「脆弱性」であることは排他ではない。今回は「仕様かつ脆弱性」のケース。
仕様だからと修正しないのか、何らか緩和策を入れるのか、仕様そのものを見直すのかは開発者次第。
修正しないとなった場合、その公表について開発者と調整してくれるのもIPAやJPCERT/CCの役目。