アカウント名:
パスワード:
自分のkindleは5.13.6でした。5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
> 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。
今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。
ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。
「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
バージョン確認 (スコア:0)
自分のkindleは5.13.6でした。
5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
Re: (スコア:0)
> 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。
Re:バージョン確認 (スコア:0)
今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、
大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。
脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。
ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと
適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。
「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?