アカウント名:
パスワード:
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
セキュリティの脆弱性はなんであれ公開が基本じゃないですか? そのためにCERTやらがあるんだと思ってました。パッチが確実に提供されるなら公開延期もあり、という感じで。MSに連絡して一週間たたずに公開するのは確かに問題かもしれませんけど。
# MSRCというネーミングには確かに悪意があるかもしれない
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:0, 荒らし)
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
Re: (スコア:2, すばらしい洞察)
MSに非公開で脆弱性を連絡し、60日間での修正を求めたところは問題ない。
ただ、MSと修正を出すまでの期間で要求が受け入れられなかったので、
正常な判断を失い、最初の連絡からたった4日めで脆弱性を公開したということ。
全然、氏の行動を擁護できる筋は存在しない。
最初はユーザのことを考えて60日間という期限を切ったということと、
実際には4日めで公開して多くのユーザを危険にさらしたという行為が
まったく矛盾している。
強制公開するなら、最初の自分の要求である60日を過ぎたときだろ。
無知じゃない人なら、それは理解できるはずだ。
無智無恥な人なら、氏が正しいと思うかもしれない。
Re: (スコア:1, 参考になる)
今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
『絶対に直せない』」、つまりその期間内だったら確実に使える、と分かっている類の物な訳で。
今回公開されたことで、研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスクを
軽減すると共に、MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
可能性を提供した訳なんだが、それでも無責任と言えるの?
Re: (スコア:2, すばらしい洞察)
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで
一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。
「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:2)
セキュリティの脆弱性はなんであれ公開が基本じゃないですか? そのためにCERTやらがあるんだと思ってました。
パッチが確実に提供されるなら公開延期もあり、という感じで。MSに連絡して一週間たたずに公開するのは確かに問題かもしれませんけど。
# MSRCというネーミングには確かに悪意があるかもしれない