MoinQ:

DNS/サービス/脆弱性の公表方針について、ここに記述してください。

さくらDNS脆弱性などからまなんだことに基づき公表の方針を考える。

1. 脆弱性の公表

当事者への通告後(到達確認後)は脆弱性の内容にもよるが、

 原則として一週間待って、脆弱性を公開する。

特に相手が脆弱性だと認めないときに、説得に時間をかけられないと判断したら公表してもいいだろう。 (公表の危険性は十分に考えた上で)

当初の「落とし穴」攻撃は緊急性はあまりないと判断したので、ひとつきの間待ったが、

1.1. 業者による公表

Dozens は最初はひどいものだったが、twitter で批判したら、多少改善された。

さくらはDNSに脆弱性を入れたことよりも、(その後の)情報公開を怠っていることの方が重大な問題である ことがわかっていないようだ。

4月中旬に指摘した脆弱性を仕様変更や障害で片付け、まともな調査報告もない。 このままだと、安いだけのサービスになってしまう。それでいいのですか。

VDもだめ。