[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05323] Re: セキュリティ指摘を受けたときの正しい対応手順とは
- To: <port139ml@xxxxxxxxxxxxx>
- Subject: [port139ml:05323] Re: セキュリティ指摘を受けたときの正しい対応手順とは
- From: "他力本願堂本舗" <tarikihongandou@xxxxxxxxxxxxxxxxx>
- Date: Fri, 21 May 2004 06:55:05 +0900
それなら定期的にペネトレ受けれって話に。
契約で縛れるしコントロールは充分可能だし。
なにより素性のわかんねえ指摘者に頼らなくて済む。
業務なら事前の許可は当然なんで、違法かどうかビクビクしないで済む
からねえ。
ボランティアとか善意で指摘できる状況じゃありませんぜ旦那。
つうか、指摘する側からすると脆弱性情報を受け入れるかどうかを
明記してもらえるとありがたいっすね。
受け入れる気が無いところは捨てられるし。
受け入れる気があるなら、国分さんの言うような契約方式の縛りを
かけてもまだ活動できるし。
つうか脆弱性情報って単なる障害報告ですよ。
それに指摘者に対して情報が漏れてたなら事後でいいから第三者の情報は
漏らさないでねくらいは言っても当然でしょう。
情報の真偽確認は障害報告を受けたときの再現実験とおなじ。
そこから先は検証結果を受けて対処を判断すればいい。
難しく考えたらゴチャゴチャになるけど、顧客対応の一環ですよ。
今は指摘そのものがリスク大きいけど。コストまでかけられたら誰も
指摘なんかしませんよ。
指摘者をうまく使うことを考えないと。
----------------------------他力本願堂本舗---------------------------
http://tarikihongandou.shadowpenguin.org
Mailto:tarikihongandou@xxxxxxxxxxxxxxxxx
サーバー防衛大學校(a.k.a カレー本)でました。
小規模稼動中WEBサーバ/新規納品物対象 ペネトレーションテスト
http://tarikihongandou.shadowpenguin.org/penetration/penetration.html
---------------------------------------------------------------------