アカウント名:
パスワード:
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとな
問題の小さくできそうな一例だけ取り上げて「問題は小さいはずだ」と反論するのも詭弁ですね。他の事例でもおなじ理屈で擁護できますか?
また、>防御対応(アタックされたら困る人が対処できる)という前提だけで語るのが間違っています。多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。そこでまだ修正されていない脆弱性を公開するのであれば、それは
小さく出来そうな一例だけを取り上げたわけではありません。親コメントはTavis氏の行動に対する意見であり、そのTavis氏のケースに対して反論するのは詭弁ですか?個別に検討しなければ意味がないとする根拠は既に述べましたし、それに反論せずに無用に汎化するのは詭弁です。# 個別に検討しようぜって言ってんのに「他でも同じ理屈でいけんの?」って人のコメント全く読んでないだろ# そもそもサブジェクトに「Tavis氏の行動は」って前提つけといてそれ?
また、>防御対応(アタ
長文で擁護されていますが、 問答無用で一般公開する必要性や正当性は相変わらず全く見えませんね
そりゃ、人のコメント読んでないんだから見えないだろうよ。擁護してないし。どの辺が擁護なんだ?
「一般公開する必要性や正当性」は、以下の部分。
つまり、ざっくりと言えば「重要な対象を守るために、ライトユーザの被害には目をつむろう(被害の総量は少ないはずだ)」というものです。# 大多数のユーザを危険にさらしても、ヘビーユーザを守るべきだ、と言い換えても同じ。
氏の行動が正しかったか否かを検証するポイントではないかと上げたのが以下の部分。
個人的には、これが正当化されるには以下が正しくなければ、主張できないと思っています。・攻撃者は、(愉快犯・職業犯罪問わず)大多数に対する攻撃よりも、目標を絞った攻撃の傾向がある。・一般に知られていない脆弱性を利用した攻撃被害額が「重要攻撃目標>それ以外の被害額の総量」である。
氏の行動が間違っていたとした場合、どうすべきだったかの対案としてあげたのが以下の部分。
# セキュリティベンダ連合を作って、それに参加する重要施設・企業だけに流す、とかも解決策の一つではあるかな。
(#1794058)のコメントで主張したいのは以下の部分。
「無責任なネットイナゴ並みの思考」として、行動そのものが完全に間違っていると非難されるような性質のモノではないと思います。# 少なくとも、訴訟社会で実名をさらして公開している人物を指して「ネットイナゴ並み」というのは相当な侮辱だと思う。
対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?# 対案無く非難するダケってまさしくネットイナゴ思考だしなその場合「MSが黙っている間に発電施設のような重要目標がクラックされる可能性は低いし、その可能性と比較して一般人がクラックされた場合の被害の方が大きい」という主張なんだよな?それソースは?検証無く自明のこととして、Tavis氏を非難するに足り得るの?彼が無責任でネットイナゴ並みって言えるほどに?
>対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
だれもいっていないそんな主張を妄想して批判の種にするとはまさに典型的な詭弁ですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:0, 荒らし)
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
Re: (スコア:2, すばらしい洞察)
MSに非公開で脆弱性を連絡し、60日間での修正を求めたところは問題ない。
ただ、MSと修正を出すまでの期間で要求が受け入れられなかったので、
正常な判断を失い、最初の連絡からたった4日めで脆弱性を公開したということ。
全然、氏の行動を擁護できる筋は存在しない。
最初はユーザのことを考えて60日間という期限を切ったということと、
実際には4日めで公開して多くのユーザを危険にさらしたという行為が
まったく矛盾している。
強制公開するなら、最初の自分の要求である60日を過ぎたときだろ。
無知じゃない人なら、それは理解できるはずだ。
無智無恥な人なら、氏が正しいと思うかもしれない。
Re: (スコア:1, 参考になる)
今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
『絶対に直せない』」、つまりその期間内だったら確実に使える、と分かっている類の物な訳で。
今回公開されたことで、研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスクを
軽減すると共に、MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
可能性を提供した訳なんだが、それでも無責任と言えるの?
Re: (スコア:2, すばらしい洞察)
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで
一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。
「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
ψアレゲな事を真面目にやることこそアレゲだと思う。
論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:4, 参考になる)
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。
次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。
また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。
# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとな
Tavis氏の行動は非難されうるべきでしょう (スコア:0)
問題の小さくできそうな一例だけ取り上げて「問題は小さいはずだ」と反論するのも詭弁ですね。
他の事例でもおなじ理屈で擁護できますか?
また、
>防御対応(アタックされたら困る人が対処できる)
という前提だけで語るのが間違っています。
多くのユーザーがそういったセキュリティ情報にまでアクセスしない現実を無視している時点で、テロリズムですよ。
対策を取れる知識があるユーザーはヘビーユーザーだけで、多くのライトユーザー(仕事で使っているだけの人たち含む)は、そんな情報に気づきもしないのが現実。
そこでまだ修正されていない脆弱性を公開するのであれば、それは
Re: (スコア:3, すばらしい洞察)
小さく出来そうな一例だけを取り上げたわけではありません。
親コメントはTavis氏の行動に対する意見であり、そのTavis氏のケースに対して反論するのは詭弁ですか?
個別に検討しなければ意味がないとする根拠は既に述べましたし、それに反論せずに無用に汎化するのは詭弁です。
# 個別に検討しようぜって言ってんのに「他でも同じ理屈でいけんの?」って人のコメント全く読んでないだろ
# そもそもサブジェクトに「Tavis氏の行動は」って前提つけといてそれ?
Re: (スコア:0)
Re:Tavis氏の行動は非難されうるべきでしょう (スコア:1, フレームのもと)
そりゃ、人のコメント読んでないんだから見えないだろうよ。
擁護してないし。どの辺が擁護なんだ?
「一般公開する必要性や正当性」は、以下の部分。
氏の行動が正しかったか否かを検証するポイントではないかと上げたのが以下の部分。
氏の行動が間違っていたとした場合、どうすべきだったかの対案としてあげたのが以下の部分。
(#1794058)のコメントで主張したいのは以下の部分。
対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
# 対案無く非難するダケってまさしくネットイナゴ思考だしな
その場合「MSが黙っている間に発電施設のような重要目標がクラックされる可能性は低いし、その可能性と比較して一般人がクラックされた場合の被害の方が大きい」という主張なんだよな?それソースは?
検証無く自明のこととして、Tavis氏を非難するに足り得るの?彼が無責任でネットイナゴ並みって言えるほどに?
Re: (スコア:0)
>対案を上げないって事は、(#1794150)のACは「Tavis氏は、MSに通報した後黙っているべきだった」という主張なんだよな?
だれもいっていないそんな主張を妄想して批判の種にするとは
まさに典型的な詭弁ですね