世界線航跡蔵

Mad web programmerのYuguiが技術ネタや日々のあれこれをお送りします。

2009年12月13日

はまちちゃんと脆弱性報告のあり方

はまちちゃんがいつものごとく、AmebaなうにCSRF脆弱性を発見していたずらを仕掛けた。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。

私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは?

CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。

ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被せておけばいいよね」とか思ってる。下手したら開腹後に塞ぐべきという常識的なことを考えすらしない。で、そこら中を内臓が見えたままの患者が歩いている。

そういうのを気に掛ける人なら誰もが一度は体験するように、これを真っ当な方法で指摘しても患者を守ることはできない。患者を呼び止めて「内臓見えてますよ、早く病院に」と言っても無駄だ。彼らは「この度は貴重なご意見を誠にありがとうございました」と言って去っていく。下手をすると「何で私が手術したことを知ってるのか? ストーカーか? 通報するぞ」と言われる。話は通じていない。

強引に、とにかく傷口だけでも塞ごうと思って拘束すれば(侵入して勝手に穴を塞いだら)、それは明確に法に触れるので捕まる。警察や救急に通報(IPAに届け出)しようとしても、現実のそれらほど迅速に対応してくれない。「この書類にあなたの住所、氏名、職業……を記入してください」から始まる。そして「書式が違います」とか「前向きに検討します」とか「別の窓口に行ってください」とか言われる始末だ。はまちちゃんの過去の通報例では「君はなんなんだ、昼間からネクタイも締めずにふらふらして、通報はそれからだ」なんて反応もあった。

内臓が露出している人を保護する方が先である。幸いなことに「カンチョー」すれば腹膜からちょっと腸がはみ出てきたりして、流石に患者も異常に気づくことが分かった。そこではまちちゃんは日夜カンチョーして回っている。これなら事態を悪化させる虞はそんなにはない。とにかく患者が病院に行くことが大切だ。

それにしても、勿論「その状況でカンチョーにリスクが無いわけではないし、正当な手続きをあくまでも貫くべきではないか。それができならなら放っておけ」という意見もあろう。はまちちゃん以外の大抵の開発者はそうしている。私は街中で開腹状態の患者を見かけても、気が向いたとき以外は放っておく。もう多すぎて構ってられない。気が向けば「内臓見えてますよ」と声はかけるけど、それで「貴重なご意見を……」とか言われたら「勝手に感染症で死ね」と思ってそのまま去る。でも、はまちちゃんはそれができない。はまちちゃんは親切な人だ。

はまちちゃんがいたずらを続けるのは、その親切さといたずら好きもあろう。だが、もし声を掛けただけで患者が病院に行ってくれるのが普通の世の中であれば、流石にわざわざ脆弱性を暴露はしないだろう。早く、内臓が露出しているのは異常であるという知識が患者に行き渡ると良いし、そういう世の中であれば医師は当然開腹後は適切な処置をするだろう。

トラックバック

http://yugui.jp/articles/851/ping
即物的と言われ倒しても (【小人閑居シテ駄文記ス】)
【この画像をもっと荒ぶらせてください><】 ちょっとおー、歯磨きしてるときに笑...
Big Sky :: カンチョーが迷惑行為か否か (Big Sky)
違うでしょ、肩をトントンと叩いて「ちょっと、スキだらけですよ。世の中ひどい人ばかりなので、気をつけないとカンチョーされますよ。」と言ってあげるのがやさしいんじゃないの?

コメント

blog comments powered by Disqus

ご案内

前の記事
次の記事

タグ一覧

過去ログ

  1. 2016年07月
  2. 2016年01月
  3. 2015年09月
  4. 2015年08月
  5. 過去ログ一覧

フィード

フィードとは

その他

Powered by "rhianolethe" the blog system