アカウント名:
パスワード:
セキュリティ研究者が名の売れた製品の脆弱性を指摘すると研究者的に名が売れそうです。
ただ、データ自体が端末内にあるなら、端末を奪われるなどDMZ内にに進入されて自由にされることを前提となるでしょう。
このとき、最初に考えるのがメールの添付ファイルの暗号化なのか?セキュリティの専門家としてのプロ性は、リスクを網羅的に把握し、それに適切な優先度をもって対策を伝えられることだと考えます。
そう考えると、Andreas Kurtz氏は、主張が指摘が稚拙な気がします。
端末が盗難にあった時に添付ファイルが暗号化されていないため読み出されてしまうのですから、正しい指摘です。他のファイルは(Appleの説明する限りでは)暗号化されているので、パスコードがわからなければ読み出されても意味を成しません。
今回の一件はまっとうな指摘だと思います。
例えば、脆弱性の1種類として「権限昇格」の脆弱性がありますが、それを公開したとして「そもそもどうやって侵入するんだよ」とか「悪意あるユーザが内部に居ること、もしくは侵入を前提とするなら、他に気をつけることがあるだろ」という指摘は普通入りません。
Appleの主張を鵜呑みにして、この条件下でも安全だと思っていた人は助かるんじゃないですかね
だから、こういう脆弱性を指摘するなとでも?「セキュリティの専門家としてのプロ性」も何も、それで飯食ってるんだから名声を得るため(と想定しているようですが)の行動を他者が非難するのは筋違いでしょう。
なにより、利用者は「メールの添付ファイルは暗号化されていて安全」というAppleの主張を信じているのに、それが嘘だった事を知る事が出来、対策を取るべきか判断が出来るのですから、指摘してもらったほうが遥かにマシです。
PCのメールクライアントでは、受信したメールのデータなんか暗号化しているものは少ないので、暗号化されていないこと自体は脆弱性じゃないでしょう。しかし、Appleは暗号化する(している?)と説明していながらやっていなかったというオチなので、これは脆弱性として認められると思います。ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。すなわち、嘘をついている意識はあったけど、脱獄しない限りは気づかないだろうと考えてた。
>ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。誰かに公表されれば、でしょ?だとしてもわざわざ書く意味が分からないのだけど
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
この警告で誰が得をするか? (スコア:-1)
セキュリティ研究者が名の売れた製品の脆弱性を指摘すると研究者的に名が売れそうです。
ただ、データ自体が端末内にあるなら、端末を奪われるなどDMZ内にに進入されて
自由にされることを前提となるでしょう。
このとき、最初に考えるのがメールの添付ファイルの暗号化なのか?
セキュリティの専門家としてのプロ性は、リスクを網羅的に把握し、
それに適切な優先度をもって対策を伝えられることだと考えます。
そう考えると、Andreas Kurtz氏は、主張が指摘が稚拙な気がします。
Re:この警告で誰が得をするか? (スコア:2)
端末が盗難にあった時に添付ファイルが暗号化されていないため読み出されてしまうのですから、正しい指摘です。
他のファイルは(Appleの説明する限りでは)暗号化されているので、パスコードがわからなければ読み出されても意味を成しません。
Re:この警告で誰が得をするか? (スコア:1)
今回の一件はまっとうな指摘だと思います。
例えば、脆弱性の1種類として「権限昇格」の脆弱性がありますが、
それを公開したとして「そもそもどうやって侵入するんだよ」とか
「悪意あるユーザが内部に居ること、もしくは侵入を前提とするなら、他に気をつけることがあるだろ」
という指摘は普通入りません。
Re: (スコア:0)
Appleの主張を鵜呑みにして、この条件下でも安全だと思っていた人は助かるんじゃないですかね
Re: (スコア:0)
だから、こういう脆弱性を指摘するなとでも?
「セキュリティの専門家としてのプロ性」も何も、それで飯食ってるんだから名声を得るため(と想定しているようですが)の行動を他者が非難するのは筋違いでしょう。
なにより、利用者は「メールの添付ファイルは暗号化されていて安全」というAppleの主張を信じているのに、それが嘘だった事を知る事が出来、対策を取るべきか判断が出来るのですから、指摘してもらったほうが遥かにマシです。
Re: (スコア:0)
PCのメールクライアントでは、受信したメールのデータなんか暗号化しているものは少ないので、暗号化されていないこと自体は脆弱性じゃないでしょう。
しかし、Appleは暗号化する(している?)と説明していながらやっていなかったというオチなので、これは脆弱性として認められると思います。
ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。
すなわち、嘘をついている意識はあったけど、脱獄しない限りは気づかないだろうと考えてた。
Re: (スコア:0)
>ただ、この研究者が報告するまでもなく、Appleは事実を認定していたと思いますよ。
誰かに公表されれば、でしょ?
だとしてもわざわざ書く意味が分からないのだけど