■はまちちゃんのと脆弱性報告のあり方

http://yugui.jp/articles/851

とか、それに付いたブコメとかに勘違いが多いので。

はまちちゃんの手法の問題点は、脆弱性を直せる立場の人よりも先にクラッカーに脆弱性を教え、しかもその利用方法まで実証し解説してみせていることにある。

なお、「先に」と書いたのは、はまちちゃんがクラッキング手法を披露した時に、理論上はサービスプロバイダもクラッカーも同時に知りうるはずだが、実際のところ、はまちちゃんが突く程度の穴を作る開発者ははまちちゃんのblogをチェックしておらず、他方クラッカーは手軽な情報源としてチェックしている可能性があるからだ。また、バグフィックスよりもクラッキングの方が早いため、どうしてもはまちちゃんに教示されたクラッカーのアタックの危険に曝される時間ができてしまうからだ。

サービスプロバイダがいつまでも直さないなら、あの「カンチョー程度の」教示も親切と呼べるかもしれない。

しかし、まずサービスプロバイダに直す機会を与えなければならない。

はまちちゃんはblogでクラッキング手法を披露する前に、まずはサービスプロバイダに「貴社サイトには◯◯という脆弱性が有ります。直す予定があるのか、直す場合はいつまでに直すのかを、◯月◯日までに返答してください。」と脆弱性を報告し、返答期限を無視し、あるいはまともなバグフィックス予定を示さなかった場合に、初めてカンチョーするべきなのだ。

（カンチョーするに至った場合であれ、殊勝にもカンチョー前に直された場合であれ、blogでネタにするのはかまわないだろう。）

ところで余談だけれども、「内臓露出」した患者に対し「カンチョー」しているというのは比喩として不正確ではないか。

はまちちゃんは脆弱性自体を突いているのだから、比喩においても失態と攻撃が部位的に一致していなければならない。

「（アナルの）隙」に対しては「カンチョー」で対応が取れているが、「内臓露出」に対しては対応が取れていない。内臓に粉末ハバネロを吹きかけるとか、そういう喩えにならなければ対応しない。

おそらく脆弱性を「内臓露出」と派手にしてみたものの、内臓を攻撃してしまうとはまちちゃんの攻撃が正当だと言いづらくなる為、あえてカンチョーを維持して読者の印象を操作しようとしたのではないか。

Permalink | 記事への反応(2) | 22:01

ツイートシェア