Slack でセキュリティ的にまずいものを見つけた時に行った対処

Slack の HTML や JavaScript 周りのソースコードに興味があって読んでいた時に良からぬものを見つけてしまったので、その時に取った対処方法をまとめておく。

Slack は基本的に feedback[at]slack.com へメールを投げるといいらしい。

Hey there! Please send your bug report through to feedback@slack.com, where our bug squashing team will be ready to help. 🐛🔨

— Slack (@SlackHQ) April 12, 2018

メールの件名に問題の概要について書き、本文には拙い英語でこれは何が問題なのかという説明を書いた。

そして何度かやり取りをして、最終的にこのようなメッセージをもらった

Thank you so much for this additional information, Kei, and again for flagging this!

I have shared your finding with the security team here at Slack.

Have a great week ahead.

これは日曜日くらいに送ったものだが、向こうからの返信がとても早かったので月曜日にやり取りが終了した。

そして最初で codehex だよ！って書かなくても良かったみたい...