アカウント名:
パスワード:
自分のkindleは5.13.6でした。5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。
であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。
ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。
予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束
Kindleって、わりとスタンドアロンでも使えるんですよ。
読みたい小説をダウンロードした後 Wi-Fi をOFFにしたまま、たまに使ったり充電したり放置したりして、次にネットに接続したのは 1ヶ月以上あとってことも、そんなに珍しい話ではない気がする。
だから余裕を大目にとって公開してるんじゃないだろうか。
分かる。 ついさきほどまで、2020年2月付のバージョン5.12.4だった。
2016年に出た、Paperwhite 32GB マンガモデルを使ってるけど、DLするとき以外、機内モードにしているせい。そうしないと海外書籍の単語を調べるとき、内蔵辞書だけを引きたいのに、毎回無駄にWikipediaとBing翻訳にアクセスしにいくんだもの。
そもそも、機内モードオフ時のアイコンが、機内モードのアイコンに斜め線引いて禁止表現にした形なので、機内モードこそが通常状態のつもりで設計されているようにも見える。
Wi-Fiつなげて再起動したら、久々にアップデートメニューが有効化されて、ちゃんと5.13.6になりました。
> 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。
今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。
ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。
「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
バージョン確認 (スコア:0)
自分のkindleは5.13.6でした。
5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
Re:バージョン確認 (スコア:2, 興味深い)
修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。
であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。
ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。
Re: (スコア:0)
予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束
Re:バージョン確認 (スコア:1)
Kindleって、わりとスタンドアロンでも使えるんですよ。
読みたい小説をダウンロードした後 Wi-Fi をOFFにしたまま、たまに使ったり
充電したり放置したりして、次にネットに接続したのは 1ヶ月以上あとって
ことも、そんなに珍しい話ではない気がする。
だから余裕を大目にとって公開してるんじゃないだろうか。
Re: (スコア:0)
分かる。
ついさきほどまで、2020年2月付のバージョン5.12.4だった。
2016年に出た、Paperwhite 32GB マンガモデルを使ってるけど、
DLするとき以外、機内モードにしているせい。そうしないと
海外書籍の単語を調べるとき、内蔵辞書だけを引きたいのに、
毎回無駄にWikipediaとBing翻訳にアクセスしにいくんだもの。
そもそも、機内モードオフ時のアイコンが、機内モードのアイコンに
斜め線引いて禁止表現にした形なので、機内モードこそが通常状態の
つもりで設計されているようにも見える。
Wi-Fiつなげて再起動したら、久々にアップデートメニューが有効化されて、
ちゃんと5.13.6になりました。
Re: (スコア:0)
> 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。
Re: (スコア:0)
今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、
大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。
脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。
ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと
適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。
「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?