アカウント名:
パスワード:
先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。
自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。
ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。
2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ
時期の問題を言うなら、シマンテックの元となった証明機関は、WebTrustが発行される前からやってる会社なんで、延々と糞対応して問題が噴出しているという点ではGPKIなんて足下にも及ばない歴史があるかと。
Mozillaは当時認証し許可については組織内で検証が済んでるんだろうかね。本当ならそいつらが承認した奴を全部洗い流して無効化するぐらいはやらなきゃならないけど、いずれも問題が発覚してから対処しているように見える。組織の中で何らかの落とし前は付けてるんだろうか。
そもそものBRがどんどん厳しくなっているのでついていけない証明機関は退場してもらうしか無いね
問題が起きたら対処するのは普通でしょ?DigiNotarもWoSignも問題起きてMozilla,Google,MSの順に対処したじゃない?過去の分も含めて精査しているところがあるような書きっぷりだけど、ソースあります?
問題が起きているのに、過去の分を精査していないのが問題だって言ってるんだと思うぞ
自動車や航空機の品質保証システムだと、品質保証システムが承認を出していたのに、本来は品質保証システムが止めるべき問題が発生した場合には、同じ基準・同じシステムで承認を出したもの全てが信頼できないと言うことになる。
なのですべて過去にわたって調べて自ら正しさを証明し、監査機関に監査に入ってもらって証明するのが当然。で、本来なら問題は発生するのがたり前なので、それに備えてエビデンスを揃えておくんだが、やってないよね。この時、八つ当たり気味に問題の無い無関係な所へ厳しく当たっても全く意味が無い、っつーか、責任転換をするのはやめろって言われるのが普通だわな。
ソフトウエア業界はこういう所が緩すぎるっていうか、抑えるべき所を理解できてないっつーか。こんだけ多発しているんだから、外部監査に介入させて、それ手動ですべて入れ替えるぐらい行われてもいいはずなんだが、どうも身内にだけ甘いっつーか。コミュニティベースって所に明らかに逃げてるっていうか。
ソフトウェア業界は、人の手による確認を信頼していないんだよ。監査機関というのは人間でしょ? ろくすっぽ意味論も習わない文系の仕事でしょ? そんなものいくら揃えたって、機械で処理できない以上は安全性を担保する方法として受け入れられないんだよ。
つまりMozillaでよく分からん対応をしているのはbotだった、と?んなアホな。
あと、品質保証システムとはシステムなので、人の手による確認である、等と言う理解は完全に間違っております。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
結局の所さ…… (スコア:0, フレームのもと)
先日MSやAppleはじめほとんど信頼されているGKPIに対して、不可解な態度をとっているMozillaというストーリーがあったけど、結局の所、昔、自分らが適当に審査した結果多発する問題への逆噴射なんかね。
自分らが前やらかした問題を解決する、あるいは示しを付けるために、関係の無いところまでやたらと厳しく当たるのは古今東西どこの業界でも一緒。
事件があったからと言って警察がやたらと職務質問して回り、工具を銃刀法違反や転び公妨やるようなもん。
そらま、過去の過ちを正すためにやらなきゃならないのはやらなきゃなんないんだろうけど、そんなモンに巻き込まれた方は大迷惑だよな。せめて自分らが過去に大ちょんぼやらかしてるので、それを防ぐためにやってます、と責任の所在の表明ぐらいはするべき何だが、どうも連中なんか勘違いしている。
ただひたすら迷惑を被るなだけのユーザとしては、まずはテメエらの組織で落とし前付けてから、他人に言えやと思う。
Re: (スコア:0)
2013年から延々と続くGPKIの糞対応をそんな想像で取り繕っても意味ないよ
Re:結局の所さ…… (スコア:0)
時期の問題を言うなら、シマンテックの元となった証明機関は、WebTrustが発行される前からやってる会社なんで、延々と糞対応して問題が噴出しているという点ではGPKIなんて足下にも及ばない歴史があるかと。
Mozillaは当時認証し許可については組織内で検証が済んでるんだろうかね。本当ならそいつらが承認した奴を全部洗い流して無効化するぐらいはやらなきゃならないけど、いずれも問題が発覚してから対処しているように見える。
組織の中で何らかの落とし前は付けてるんだろうか。
Re: (スコア:0)
そもそものBRがどんどん厳しくなっているので
ついていけない証明機関は退場してもらうしか無いね
問題が起きたら対処するのは普通でしょ?
DigiNotarもWoSignも問題起きてMozilla,Google,MSの順に対処したじゃない?
過去の分も含めて精査しているところがあるような書きっぷりだけど、ソースあります?
Re: (スコア:0)
問題が起きているのに、過去の分を精査していないのが問題だって言ってるんだと思うぞ
自動車や航空機の品質保証システムだと、品質保証システムが承認を出していたのに、本来は品質保証システムが止めるべき問題が発生した場合には、同じ基準・同じシステムで承認を出したもの全てが信頼できないと言うことになる。
なのですべて過去にわたって調べて自ら正しさを証明し、監査機関に監査に入ってもらって証明するのが当然。で、本来なら問題は発生するのがたり前なので、それに備えてエビデンスを揃えておくんだが、やってないよね。
この時、八つ当たり気味に問題の無い無関係な所へ厳しく当たっても全く意味が無い、っつーか、責任転換をするのはやめろって言われるのが普通だわな。
ソフトウエア業界はこういう所が緩すぎるっていうか、抑えるべき所を理解できてないっつーか。こんだけ多発しているんだから、外部監査に介入させて、それ手動ですべて入れ替えるぐらい行われてもいいはずなんだが、どうも身内にだけ甘いっつーか。コミュニティベースって所に明らかに逃げてるっていうか。
Re: (スコア:0)
ソフトウェア業界は、人の手による確認を信頼していないんだよ。監査機関というのは人間でしょ? ろくすっぽ意味論も習わない文系の仕事でしょ? そんなものいくら揃えたって、機械で処理できない以上は安全性を担保する方法として受け入れられないんだよ。
Re: (スコア:0)
つまりMozillaでよく分からん対応をしているのはbotだった、と?
んなアホな。
あと、品質保証システムとはシステムなので、人の手による確認である、等と言う理解は完全に間違っております。