2009-12-13 (日)
眠い.
*脆弱性報告
はまちちゃんの善悪とかはどうでも良いのですが.
脆弱性でサービスが攻撃される場合,被害者はユーザであって,サービス提供者は攻撃からユーザを守るために,安全なシステムを作るべきだと思う.
鍵が壊れた金庫で現金を管理していた銀行から現金が盗まれたときに,「盗難の被害にあったので皆さんの預金が無くなりました」とか言われたら,普通は銀行に対しても怒ると思うけど,違うのかな.
今回の件は,「悪戯好きの子供が裏口から入って,金庫の札束で遊んでいた」ときに,「悪戯のおかげで問題が明らかになった」とか「でも悪戯は悪いこと」とかが話題になっている.問題はそこですか.
こういう比喩は印象を操作できるから好きじゃないけど思ったので書いてしまった.悪戯好きの子供と違うのは,はまちちゃんは間違いなく確信犯だということか.
脆弱性を報告したことのある人ならきっと分かると思いますが,本当にサポート窓口の対応は酷いと思う.ちゃんとしているところも多いだろうけど,ちゃんとやっているとこのサービスの脆弱性を報告する機会が無いので分からない.
かといって,IPA経由とかだと手間と時間がかかり過ぎるし,開発者にちゃんと伝わったのか確認ができなくて不安になる.
問題を正しく理解できるか怪しい人に地道に説明するより,いたずらして注目を集めた方が,リスクはあるけど,はまちちゃんみたいに人気者になれるかもしれないし得だと思う.