アカウント名:
パスワード:
オレサマの決めたルールだ、お前らも従えとMS的発想なのかな。馴れ合い、談合よりマシかもしれないけど、もう少し業界のコンセンサスを得てからの方が良いのでは
>もう少し業界のコンセンサスを得てからの方が良いのでは
なんで?Microsoftには90日前に報告しています。月に1回のWindows Updateが少なくとも1回(2回あるけど1回目は修正とチェックに時間がかかって間に合わないかもしれないので)修正のタイミングがあったのにしませんでした。Microsoftはあまり脅威度が高くないと思っていたかもしれません。それなら公開してMicrosoftの対応を待つのも一つの手です。いい手かどうかは別の話。
互換性の問題でパッチ公開を一か月先延ばしするので公開は控えてくれと要請されていたのにGoogleがオレオレルールに固執して公開したように見えますがね。つい先日も同じようなことがありました。
MSにパッチ報告を無視られてたなら同情の余地はないですが、公開に向けて動いているのにひっくり返すさまはやはりevilだなと思わざるを得ませんね。
全くで。パッチできて公開するからそれまで待てというのを、待たないってのはユーザにとってメリットは何もないと言えるのでGoogle自体がやりたいことでしかなかった。自分ルールに拘泥することの方がユーザメリットに勝ると判断したことになりますから、evilと言わざるを得ない。
互換性テストが終わってないものを「できた」とはいわないでしょ× パッチできて公開するからそれまで待て○ パッチできてないけど、30日後に公開するからまって
MSのパッチ提供っていつもすごく時間がかかるよね。BashやOpenSSLのときはRedhatが2日後に提供したのと比べるとびっくりするほど遅い。
120日って・・・長すぎだろw
で、それがMSの要望どうり1ヶ月公開を伸ばして120日になったらなにか困るの?なんで30日後には直ると言ってるのにわざわざ公開して30日間ハッカーたちが好き放題出来る期間を設けたの?
googleが見つけた脆弱性はほかの悪意あるソフト開発者がすでに見つけ悪用している可能性(ゼロデイ攻撃)があります。脆弱性を見つけたら開発者に連絡し、90日以内に対策が取られなければ情報を公開して回避策を提示するべきだ、というのがgoogleの方針でそのためのProject Zero [blogspot.jp]です。
Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
>Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?googleにそんな義理も義務もありません。強いて言えば「共有メモリに暗号化したデータを置くな」
>対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
>こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。そのうち即日公開してしまったほうが同じ土俵にたてるのでよいという話になりそう.
攻撃側と防衛側を同じ土俵に立てたら、防衛側になる大多数の一般ユーザーは敗北しか無い現実を見ろクラッカー並みの知識のない人間はPC使うなとでも考えてるのなら価値観が時代遅れ
それ以上に脆弱性があることを知らなければ防衛すらできません。そちらの方がよりリスクが高いです。
根本対策がメーカーからのパッチ適用であるとしても、ウイルス対策ソフトウェアもIPSは?使わないの?
攻撃されてるのに某社がなかなか直してくれないので、IPSの会社に言ったら、検知できるパターンを用意してくれたので大変助かったことがありました。なかなかIPSも捨てたものじゃないですよ。そのときの修正は1年後に製品の有償バージョンアップという形で提供されましたけどね。あと、ウイルス対策のメーカだって、ウイルスの解析するときに脆弱性の情報を参考にしますよね。まったく未知の状態だと時間かかるでしょ。脅威にさらされる時間が長くなりますよね?
MSとGoogleというよりは、メーカーはもっとさっさと修正しろよと
脆弱性があることを公開しなければその脆弱性の存在は公知されず攻撃者を増やさずにすみますがね。
是が非でも、多くの人々を危険に陥れてでも90日で公開する合理的な理由はなに?
脆弱性の指摘を無視されたわけでも、修正をサボってるわけでもないのに。脆弱性によって、修正に要するに日数は全然違うよね。テストをはしょられていい加減なパッチを公開されて、被害がでたらどうするの。
個別対応はしない、ってだけの話でしょうね。
柔軟性に欠けるという非難なら分かるが、90日の根拠がない、横暴ってのは見当違い過ぎるかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
90日ルールを一般化したいのかな (スコア:0)
オレサマの決めたルールだ、お前らも従えとMS的発想なのかな。馴れ合い、談合よりマシかもしれないけど、もう少し業界のコンセンサスを得てからの方が良いのでは
Re:90日ルールを一般化したいのかな (スコア:0)
>もう少し業界のコンセンサスを得てからの方が良いのでは
なんで?
Microsoftには90日前に報告しています。月に1回のWindows Updateが少なくとも1回(2回あるけど1回目は修正とチェックに時間がかかって間に合わないかもしれないので)
修正のタイミングがあったのにしませんでした。Microsoftはあまり脅威度が高くないと思っていたかもしれません。
それなら公開してMicrosoftの対応を待つのも一つの手です。いい手かどうかは別の話。
Re: (スコア:0)
互換性の問題でパッチ公開を一か月先延ばしするので公開は控えてくれと要請されていたのに
Googleがオレオレルールに固執して公開したように見えますがね。
つい先日も同じようなことがありました。
MSにパッチ報告を無視られてたなら同情の余地はないですが、
公開に向けて動いているのにひっくり返すさまはやはりevilだなと思わざるを得ませんね。
Re: (スコア:0)
全くで。パッチできて公開するからそれまで待てというのを、待たないってのは
ユーザにとってメリットは何もないと言えるのでGoogle自体がやりたいことでしかなかった。
自分ルールに拘泥することの方がユーザメリットに勝ると判断したことになりますから、evilと言わざるを得ない。
Re: (スコア:0)
互換性テストが終わってないものを「できた」とはいわないでしょ
× パッチできて公開するからそれまで待て
○ パッチできてないけど、30日後に公開するからまって
MSのパッチ提供っていつもすごく時間がかかるよね。
BashやOpenSSLのときはRedhatが2日後に提供したのと比べるとびっくりするほど遅い。
120日って・・・長すぎだろw
Re: (スコア:0)
で、それがMSの要望どうり1ヶ月公開を伸ばして120日になったらなにか困るの?
なんで30日後には直ると言ってるのにわざわざ公開して30日間ハッカーたちが好き放題出来る期間を設けたの?
Re: (スコア:0)
googleが見つけた脆弱性はほかの悪意あるソフト開発者がすでに見つけ悪用している可能性(ゼロデイ攻撃)があります。脆弱性を見つけたら開発者に連絡し、90日以内に対策が取られなければ情報を公開して回避策を提示するべきだ、というのがgoogleの方針でそのためのProject Zero [blogspot.jp]です。
Re:90日ルールを一般化したいのかな (スコア:1)
Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?
対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
>Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?
googleにそんな義理も義務もありません。強いて言えば「共有メモリに暗号化したデータを置くな」
>対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
Re: (スコア:0)
>こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
そのうち即日公開してしまったほうが同じ土俵にたてるのでよいという話になりそう.
Re: (スコア:0)
攻撃側と防衛側を同じ土俵に立てたら、防衛側になる大多数の一般ユーザーは敗北しか無い現実を見ろ
クラッカー並みの知識のない人間はPC使うなとでも考えてるのなら価値観が時代遅れ
Re: (スコア:0)
それ以上に脆弱性があることを知らなければ防衛すらできません。そちらの方がよりリスクが高いです。
Re: (スコア:0)
根本対策がメーカーからのパッチ適用であるとしても、
ウイルス対策ソフトウェアもIPSは?
使わないの?
攻撃されてるのに某社がなかなか直してくれないので、IPSの会社に言ったら、検知できるパターンを用意してくれたので大変助かったことがありました。なかなかIPSも捨てたものじゃないですよ。そのときの修正は1年後に製品の有償バージョンアップという形で提供されましたけどね。
あと、ウイルス対策のメーカだって、ウイルスの解析するときに脆弱性の情報を参考にしますよね。まったく未知の状態だと時間かかるでしょ。脅威にさらされる時間が長くなりますよね?
MSとGoogleというよりは、メーカーはもっとさっさと修正しろよと
Re: (スコア:0)
脆弱性があることを公開しなければその脆弱性の存在は公知されず攻撃者を増やさずにすみますがね。
Re: (スコア:0)
是が非でも、多くの人々を危険に陥れてでも90日で公開する合理的な理由はなに?
脆弱性の指摘を無視されたわけでも、修正をサボってるわけでもないのに。
脆弱性によって、修正に要するに日数は全然違うよね。
テストをはしょられていい加減なパッチを公開されて、被害がでたらどうするの。
Re: (スコア:0)
個別対応はしない、ってだけの話でしょうね。
柔軟性に欠けるという非難なら分かるが、
90日の根拠がない、横暴ってのは見当違い過ぎるかと。