アカウント名:
パスワード:
Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
私もだいたいそんな感じだと思うけど、「悪意のクラッカーが利用できるように」じゃなくて、早急に対応せざるおえないような状況に追い込みたかったんじゃないの。
60日以内はそれなりの期間ですよね。対応するのを期待しても極端に(?)短すぎるとは思えないけど。60日以内の約束できないんだったら、じゃ、いつまでなんだよってことになるでしょ。 対応する前に悪意の者が発見して悪用されたらどうすんだよってことでしょ。そもそも、そんな脆弱生を探してMSに教えてあげている(?)のはWindowsユーザを守るというボランティア意識からでしょ(名誉欲もあるかもしれないけど)。
ありゃ#1794058で詳細な経緯の発言されてますね...
#しかし「敵意に満ちている」と非難発言している方がよっぽど敵意に満ちているというのはねたですか。そうですか。
最終的に公開する時点で、ユーザを危険にさらすという考えはあったと思いますよ。見つけた時点でMSに報告&やりとりしてるんですから。公開する時点で理性が保てたのか、理性が吹っ飛んで激情的になったのかは知りませんが。そこに至ったのはMSの官僚的な対応じゃなかったんじゃないですかね。わかりませんけど。#時間的な流れがわかってしまったので、後付けのようにになってしまいますが、発見者はどういったプログラムでどういう部分を直せばいいかも推測できてたんじゃないですか。OSの脆弱性を発見できるぐらいなんですから。
頭が悪いって言うほど
すみません。訂正させていただきます。「製品の欠陥を指摘してるのに」を「製品の重大な欠陥を指摘してるのに」に。あまり支障にならないような欠陥の場合はおもねらねばならんですわな。ことソフトウェアの世界では。変なことだけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
敵意に満ちている (スコア:1, すばらしい洞察)
> Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、
これって逆恨みだよね。
そりゃ、いきなり多くのユーザを危険にさらされたら非難すると思うし、非難しないなら
逆にユーザとしてはMSを批判の対象とするよ。
この連中のMSに対するつ敵意による独善的な行為の第一被害者は、善意のユーザたちなのだから。
> いくつかの産業界などが集まりMicrosoft-Spurned Researcher Collective (MSRC) を
> 結成したとのこと。
いくつかの産業界
問題を報告したのに5日以内に修正されなかったそうです(Re:敵意に満ちている) (スコア:0)
Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
Re:問題を報告したのに5日以内に修正されなかったそうです(Re:敵意に満ちている) (スコア:0)
「60日以内に修正を出すと確約が欲しい」
「直すけど、60日以内でできるか約束はできない」
「それじゃだめだ、確実に直すという回答が欲しい」
「その回答はできない」
「チッ、なんでできないんだよ。おまえらなんかこうしてやる」
と、悪意のクラッカーが利用できるように一般公開したとかそんなところ。
そもそも、悪意のクラッカーが利用する恐れがあるから、悪意のクラッカーも
利用できるように公開するなんて意味不明な理由だよね。
頭おかしいんじゃないかと。
Re: (スコア:0)
私もだいたいそんな感じだと思うけど、「悪意のクラッカーが利用できるように」じゃなくて、早急に対応せざるおえないような状況に追い込みたかったんじゃないの。
60日以内はそれなりの期間ですよね。対応するのを期待しても極端に(?)短すぎるとは思えないけど。60日以内の約束できないんだったら、じゃ、いつまでなんだよってことになるでしょ。 対応する前に悪意の者が発見して悪用されたらどうすんだよってことでしょ。
そもそも、そんな脆弱生を探してMSに教えてあげている(?)のはWindowsユーザを守るというボランティア意識からでしょ(名誉欲もあるかもしれないけど)。
Re: (スコア:0)
ありゃ#1794058で詳細な経緯の発言されてますね...
#しかし「敵意に満ちている」と非難発言している方がよっぽど敵意に満ちているというのはねたですか。そうですか。
Re: (スコア:0)
ほとんど準備もできていない4日目で公開するということが異常な考えということ。
まったく対応する隙も与えずに公開することは、これはユーザを危険にさらすことが
目的か、あるいはMSの経営に打撃を与えるためととらえられても否定できない。
60日間で対応の確約なんて必要ないんです。
発見者がまともな善意の判断力があり、60日間で直せるだろうと考えたならば
確約を求めるのではなく、「60日後には一般公開しますからね」で済む。
MSも、それまでに直せるように努力しますよね。
基本的に、この発見者は頭が悪いんです。
技術力の話じゃなく、知恵が無い。
Re: (スコア:0)
最終的に公開する時点で、ユーザを危険にさらすという考えはあったと思いますよ。見つけた時点でMSに報告&やりとりしてるんですから。
公開する時点で理性が保てたのか、理性が吹っ飛んで激情的になったのかは知りませんが。そこに至ったのはMSの官僚的な対応じゃなかったんじゃないですかね。わかりませんけど。
#時間的な流れがわかってしまったので、後付けのようにになってしまいますが、発見者はどういったプログラムでどういう部分を直せばいいかも推測できてたんじゃないですか。OSの脆弱性を発見できるぐらいなんですから。
頭が悪いって言うほど
Re: (スコア:0)
すみません。訂正させていただきます。
「製品の欠陥を指摘してるのに」を「製品の重大な欠陥を指摘してるのに」に。
あまり支障にならないような欠陥の場合はおもねらねばならんですわな。ことソフトウェアの世界では。変なことだけど。