Webサイトでバグを見つけてWebサイトの所有者に報告することは合法ですか？

カナダでは安全であるかのように見えます ... 今のところ 。それ以外の場所では、「バグの検索」によって、誰かのサイトでWebサイトの利用規約（侵入テストなど）に違反する可能性のあるエクスプロイトを見つけることを意味するかどうかによって異なります。

電子メールを受信する人の反応、メッセージの表現方法、問題を再現するための宣言された手順に応じて、これにはいくつかの異なる方法があります。

典型的な法的ポライトの例：

拝啓、

通常のブラウジングで、サーバーを危険にさらす可能性のあるエクスプロイトをウェブサイトで見つけました。私はIT業界で働いていて、このページhttp://www.somesite.com/somepageが原因です<list exploit here>これにより、サイトの整合性が損なわれる可能性があります。私はあなたのサイトを利用することを楽しんでいます。

宜しくお願いします、

-ArtDesire

以下は正当なものとして解釈されない可能性があります：

時にはプレゼンテーションがすべてであり、人々は最善の意図を持っているかもしれませんが、エクスプロイトのテストまたはエクスプロイトの再確認は間違った方法で行われる可能性があります。これは通常、サーバーの管理者に、少なくとも通知を送信する人が利用規約に違反していることを知らせるため、適切な法的例ではありません。

やあ、

私はオンラインで見つけたこの新しいスクリプトを完全に試してみましたが、誰かがあなたのサーバーをこのリンク<link here>。ぜひチェックしてみてください。私はそれを数回だけテストしました。

幸運を、

-ArtDesire

他の誰かのサイトでエクスプロイトを積極的にテストすることは、一部の自治体では明らかに違法です。サーバーはアクセスログを維持するため、問題が発生して管理者に通知された場合、ログに戻ったときにフラグが表示されることがあります。次に、電子メールのすべての情報（ヘッダーを含む）と、直接アクセスできるものを使用して、何が起こったのかを追跡できます。クライアントマシン上のトラッキングCookieは、調査の証拠として使用される場合があります。

調査が開始されると、アクションは、サーバーの場所に関する法律（物理的制御）、サーバーが存在する国の法律、サーバーの保守者（サーバーのコンテンツに責任を持つ）に依存します一部の国）、そして別の方法で証明されるまで有罪か、またはその逆かに基づいた引渡しポリシー。

バグが見つかった場合（コードがページにこぼれるなど）、誰かに知らせることは通常違法ではありません。

私がエクスプロイトについて誰かに知らせようとしたサイトのほとんどは、通常、次のような定型の応答で終わります。

「私たちは世界で最高のプログラマーを使用しており、あなたは何を話しているのかわからない。問題があった場合、プログラマーはそれを知っていて、それに取り組んでいると確信している。」

または彼らは言うでしょう：

「見つけた問題はお使いのコンピューターの問題である可能性があります。全員が同じブラウジングエクスペリエンスを体験できるとは限りません。」

「良い行為は罰せられない」ハッキングの法則 はより厳格になり、これらの法則の解釈は多くの場合、無知の手に渡ります。安全のために、私は常にすべてを文書化することを覚えています。

多くのWebサイトには、そのWebサイトでのセキュリティテストの実施を禁止する免責事項があります。

したがって、本当にそれを実行したい場合は、バグを報告することをお勧めします匿名でと他の人が言ったように、彼らを助けるためだけにこれを行ったことに注意してください。

私はここでいくつかの答えが好きですが、別の可能性-法定代理人による開示について言及しようと思いました。これはあなたの問題に値するかもしれないと言っているわけではありませんが、あなたを特定することにつながる可能性のある情報を開示したくない状況で機能する可能性があります（@AbsoluteƵERØが彼の回答で言及しているように、一致するアクティビティのサーバーログによる検査、または、後でWebサーバーのそれぞれの所有者に通知しようとするときに、身元を明らかにすること）。

ある意味で、あなたの法定代理人は根拠をテストし、おそらく起訴以外の開示条件に同意することさえできます。その後、所有者を信頼する理由がない場合、起訴を恐れる場合、または法定代理人がそのようにアドバイスした場合、所有者が発見した潜在的な脆弱性を軽減するのに役立つ詳細な開示に進むか、単に立ち去るかのいずれかを後で決定できます。 。これは通常、法的言語では情報に基づいた戦術的決定と呼ばれます（私は明らかに弁護士ではありません。 。

法定代理人はあなたの利益を保護する義務があり、生命への明確な脅威または同様のレベルの危険性が推定される場合を除き、現地の法律に基づいて、有害な情報を開示してあなたの身元を明らかにすることを強制することはできません。これらの法律はほとんどの民主主義国で比較的似ていますが、カナダについては特に知りません。弁護士に直接依頼するのに費用はかかりませんが、法的助言は通常（無料である必要があります）、合意された開示プロトコルを処理する費用は開示の受益者（所有者）が負担できます。

とにかく、このオプションについて言及する価値があると思いました。複雑すぎて時間がかかると思われる場合は、問題が発生する可能性があることを理解している回答者の提案に従い、注意すべき点とこの問題の回避方法を提案することをお勧めします。この質問が私の回答の前に十分にカバーされているのを見て、私はすでになされたポイントを繰り返したくありませんでした。

追加して編集：特に明確ではありませんが、より意味のある適切な回答を提供する能力が制限される可能性があります。 「バグを見つける」とはどういう意味ですか？通常のWebサイトの使用で偶然偶然見つけましたか、あなたはたまたま、いくつかのバグが悪用可能であり、それらについて学んだことは他のToSを尊重するユーザーが再現できることを偶然知っているか、またはバグと脆弱性を積極的に検索/スキャンしていますか？これは、告発を恐れずに調査結果を開示できるか、予防策を講じるべきか（既に他の回答で説明されているように）IMOの最も決定的な要素です。

それはおそらくあなたがそれを見つけた方法に依存します。さりげなくサイトを使って見つけたものであれば、会社に報告しても何も起こらないとは思えない。バグを掘り起こして積極的に問題を見つけようとした場合、それはまったく異なる話になる可能性があります。

地域の法律によって異なる場合がありますが、一般的には、バグが見つかったときにシステムが意図したとおりにシステムを使用していたかどうかが問題の核心です。サイトを正しく使用していて、つまずいた場合は、大丈夫です。

入力できる奇妙な入力を見ていて、無効な応答を取得する方法を見つけた場合は、確立されたバグハンティングプログラムを使用していて、システムの問題を見つけるように人々に依頼していない限り、問題が発生する可能性があります。

このようなバグハンティングプログラムがあるかどうかが不明な場合は、サイトにテストを行ったかどうかを尋ねて調査結果を提供してもらえるかどうか尋ねるアプローチが考えられます。彼らがあなたにしないように頼んだら、それから彼らにそのバグについて話さないでください。彼らが大丈夫だと言ったら、数日待ってから、あなたが見つけたものを彼らに知らせてください。

それはあなたがバグで何を意味するかによる。サーバーに危害を加えたり、サーバーにアクセスしたりするために悪用される可能性のあるものである場合、米国では コンピューター詐欺および虐待法 の下で違法と見なされる可能性があります。何人かの損害を与えなかったにもかかわらず、何人かのホワイトハッカーが米国で逮捕されました この記事を見て、Adrian Lamoに注意してください 。

セクション 42.1 のカナダの刑法では違法となる可能性があるようです。

Syb0rgは、バグを見つけても大丈夫な会社もあれば、そうでない会社もあると述べています。

最初に会社に連絡して許可を求めることをお勧めします。そうすることで、見られなかったかもしれない法的問題を回避できます。

それらに通知することは通常違法ではありませんが、バグの検索は通常違法です。多くの人々はあなたが提案していることのために刑務所の時間を得ました。