## page was renamed from DNS/脆弱性の公表方針
## page was renamed from DNS/サービス/脆弱性の公表方針
DNS/サービス/脆弱性の公表方針について、ここに記述してください。

さくらDNS脆弱性などからまなんだことに基づき公表の方針を考える。
　IPAに通告しても、理解されなかったり、時間がかかりすぎたりした経験にも基づいている。

= 脆弱性の公表 =
当事者への通告後(到達確認後）は脆弱性の内容にもよるが、
{{{
　原則として一週間待って、脆弱性を公開する。
}}}

特に相手が脆弱性だと認めないときに、説得に時間をかけられないと判断したら公表してもいいだろう。
（公表の危険性は十分に考えた上で）

当初の「落とし穴」攻撃は緊急性はあまりないと判断したので、ひとつきの間待ったが、
　結果としては待ちすぎた。（進展のチェックをおろそかにしたのが失敗；相手に期待しすぎた。）

== 業者による公表 ==
Dozens は最初はひどいものだったが、twitter で批判したら、多少改善された。
　でも、不十分。

さくらはDNSに脆弱性を入れたことよりも、（その後の）情報公開を怠っていることの方が重大な問題である
ことがわかっていないようだ。

4月中旬に指摘した脆弱性を仕様変更や障害で片付け、まともな調査報告もない。
このままだと、安いだけのサービスになってしまう。それでいいのですか。

VDもだめ。