DNS/サービス/脆弱性の公表方針について、ここに記述してください。
さくらDNS脆弱性などからまなんだことに基づき公表の方針を考える。
- IPAに通告しても、理解されなかったり、時間がかかりすぎたりした経験にも基づいている。
1. 脆弱性の公表
当事者への通告後(到達確認後)は脆弱性の内容にもよるが、
原則として一週間待って、脆弱性を公開する。
特に相手が脆弱性だと認めないときに、説得に時間をかけられないと判断したら公表してもいいだろう。 (公表の危険性は十分に考えた上で)
当初の「落とし穴」攻撃は緊急性はあまりないと判断したので、ひとつきの間待ったが、
- 結果としては待ちすぎた。(進展のチェックをおろそかにしたのが失敗;相手に期待しすぎた。)
1.1. 業者による公表
Dozens は最初はひどいものだったが、twitter で批判したら、多少改善された。
- でも、不十分。
さくらはDNSに脆弱性を入れたことよりも、(その後の)情報公開を怠っていることの方が重大な問題である ことがわかっていないようだ。
4月中旬に指摘した脆弱性を仕様変更や障害で片付け、まともな調査報告もない。 このままだと、安いだけのサービスになってしまう。それでいいのですか。
VDもだめ。