セキュリティにおける倫理って何だ? | ドクセル
長谷川陽介(はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji https://utf-8.jp/
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
こめんと(2006-11-13) - 悪趣味な「月刊」セキュリティーホール
■ [Security] 悪趣味な「月刊」セキュリティーホール 最近気に入らないのが、「Month of Kernel Bugs」とか、「Monthly Undisclosed Bug」の類の企画やってる連中。 ハッカーがセキュリティバグを見つけた際に、クラッカーとして悪用するか、 悪用せずに「適切に」利用するかの境界は、結局人のためになるか、 という一点につきると思う。どのように「人のためになるか」、については セキュリティ関係者の間でも議論が分かれていて、しばしば紛争になるのは 周知の通りかと思うが、大きく分けて次のような考え方があると思う。 ベンダ修正を待つべき派 結局ソフトウェアのバグを直せるのはベンダだけなのだから、 バグを見つけたらこっそりベンダに教えてあげて、 直った時点で公表するのが悪用を防いでみんなのためになる。 Full Disclosure 派 ベンダは基本的に可能な
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
