「Sage」タグアーカイブ

2007-01
26
16:48:00
Sage++(Higmmer’s Edition)の脆弱性問題に思うこと


Sage++の脆弱性問題というのが出てきていて、特にSage++は使ったことがないのでそこにはそれほど述べることもないのですが、ちょっと気になったのはJPCERT/CCからの脆弱性情報を作者として受け取るのに「個人情報を公開する必要があって躊躇ってしまった」という件。
[重要] Sage++ (Higmmer’s Edition)の脆弱性情報に関して、お詫びと釈明
かくいう僕も似たような経験があります。
但しこの時は脆弱性の通報者側でした。
参考: Movable Type 3.151以前のセッションハイジャック脆弱性問題
通報者であっても実名による通知など個人情報を知らせる必要があって要求されたんですね。
で、まったくひぐま氏を同じことを思い「個人情報は教えたくない」と押し通したら後日「届出を受理します」との連絡がありそのまた後日公開となりました。
但し公開された脆弱性情報には私のハンドルネームひとつありませんでしたが。
この問題、ひょっとすると最近巷を騒がす匿名実名問題にも行き着くかもしれませんが、一方で「果たしてこうした有益な活動に個々人で受け取り方の異なる微妙な問題を紛れ込ましてややこしくしてどうするのか」とも思います。
そもそも脆弱性情報の届けなら事実が述べられていればよいだけで、商売上脆弱性情報に名前がのると嬉しい人が勝手に届けに付加しておけば宜しい。
作者への通知においても、作者が公開しているメールアドレスで連絡できるのならば問題も感じられません。
なにより、そうした仕組みで成り立つとすくなくとも見なされ運用されているのが今のインターネットの世界なのですから。
単純に考えれば、JPCERT/CCまたはIPAはお役所でしかないということなのでしょう。
考えてみれば、住民票を取ったり結婚時の立会人がハンドルネームというのもしっくりきません。
ただただ普段の役所仕事を持ち込んでたらこうなった、というところか。
すでにリアルだけで世の中が成り立っているわけでもありませんし、もちろんバーチャルだけでもありませんが、そこで必要とされるルールを飲み込んで従うところから始めてみるのもいいのではないのかな。そういう発想や覚悟があるのかどうかは知りませんが。
そんなあれこれ考えるとこれからは世代やリアル/バーチャル、職種など様々な関係での「デバイド」が顕在化するように思われ、またはすでに噴出している時代かも知れませんね。しかも他方から他方を見ると相手の発想が何一つ理解できないぐらいの。
#とりあえず世の役所や関係機関にはSecondLifeに支店を出すところから勧めてみたいと思います。:)