アカウント名:
パスワード:
"There is no honour amongst hackers any more." [seclists.org]
彼らがhackerなのかは微妙だが。しかし日本の企業、それも大資本に連なる会社がこれをやったってのは驚き。しっかりした考えあってやったことなら、賛否は人それぞれ考えるとして、骨があっていいと思う。今度MBSDに仕事の打診をしてみようかな。貧乏お断りって言われそうだけど。世間の流れに漂うような批判なんて気にしなくていいんじゃないかな。まあ、プロなんでそうも行かないかも知れないが。(公開した方がいいよ、と言っているわけではないよ)
Apache側が対応する前に公表したのを問題視され、ボロクソ言われてるみたいだけど、回避策も提示してるのだかそこまで言われるようなものじゃないですね。ただ、他の企業もこれに続いてほしい、と言えるような事でもないです。色んな企業が好き勝手に脆弱性を公表したらカオスですから。ちなみに彼らが公開したのは修正パッチではなく回避策です。これはフィルターという物で、噛ましておけば攻撃を無効化できるってものです。
CVE-2014-0094にたいしてStruts開発陣が「修正パッチ」と称して出したものも,回避策のデフォルト化,です。全然,根本的な対策が行われていません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
批判の声を見て思ったこと (スコア:1)
"There is no honour amongst hackers any more." [seclists.org]
彼らがhackerなのかは微妙だが。
しかし日本の企業、それも大資本に連なる会社がこれをやったってのは驚き。しっかりした考えあってやったことなら、賛否は人それぞれ考えるとして、骨があっていいと思う。今度MBSDに仕事の打診をしてみようかな。貧乏お断りって言われそうだけど。
世間の流れに漂うような批判なんて気にしなくていいんじゃないかな。まあ、プロなんでそうも行かないかも知れないが。(公開した方がいいよ、と言っているわけではないよ)
Re:批判の声を見て思ったこと (スコア:2)
Apache側が対応する前に公表したのを問題視され、ボロクソ言われてるみたいだけど、回避策も提示してるのだかそこまで言われるようなものじゃないですね。
ただ、他の企業もこれに続いてほしい、と言えるような事でもないです。色んな企業が好き勝手に脆弱性を公表したらカオスですから。
ちなみに彼らが公開したのは修正パッチではなく回避策です。これはフィルターという物で、噛ましておけば攻撃を無効化できるってものです。
Re:批判の声を見て思ったこと (スコア:1)
CVE-2014-0094にたいしてStruts開発陣が「修正パッチ」と称して出したものも,回避策のデフォルト化,です。全然,根本的な対策が行われていません。