アカウント名:
パスワード:
秘密保持契約していなかったとすれば、脇が甘すぎだね秘密保持契約していたのならば、今後の対応が楽しみだ
そんな実質無力な契約を真顔で結んでたりしたのがバレたら逆にMSが笑い者になる。別の第三者が自力で発見したと言ってしまえばそれまで、それどころか脆弱性情報が地下で流通するだけの結果もありうる。そんな手段で脆弱性を封じ込めようとしても何の利益も無い。
修正の必要ないバグを口止めする必要もない
普通に考えればバグ報告のお礼だろう。
>HPでは脆弱性の報告から120日が経過したとして、賞金を獲得したことを2月に公表している。
ちゃんと120日間黙っていたじゃないですか。賞金が口止め料だとしても、セキュリティ関係の場合は期限付きなのが前提です。
俺ルールがどうであれ、契約がどうなっていたかが重要かと
で、どうなってるの?
どうもなってないから公表したんでしょう
どうなってるのかもわからないのに「問題ない!」「問題だ!」とオレオレ理論を主張しあってるのが今の流れ
> その賞金は口止め料だろう。ちがーうよ。「闇で高く売れる/売られてるものを教えてくれてありがとう」っていうお礼。脆弱性情報は犯罪組織間で取引されるので、メーカーにバレて修正されれば価値がなくなって組織の資金源を少し潰せる。あるいは公表されてしまってもやはり価値がなくなって組織の資金源を少し潰せる。だから、修正されないならば公表しなければならない。口止めをすると防御側は把握できず、攻撃側は一層活用しやすくなる。脆弱性を発見できるのは報告者だけではなくて、独立して複数の勢力が発見することが十分有り得る。その全てを把握することはできないので、分かった分だけ口止めしても抑止力にならない。力で抑えつけられると思われていたのは30年前の話。もう誰もそんな議論はしていない。
お前が何も読んでいないというのはよくわかった
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
賞金を支払う際に秘密保持契約していなかったのかな (スコア:0)
秘密保持契約していなかったとすれば、脇が甘すぎだね
秘密保持契約していたのならば、今後の対応が楽しみだ
Re:賞金を支払う際に秘密保持契約していなかったのかな (スコア:3, すばらしい洞察)
そんな実質無力な契約を真顔で結んでたりしたのがバレたら逆にMSが笑い者になる。
別の第三者が自力で発見したと言ってしまえばそれまで、それどころか脆弱性情報が地下で流通するだけの結果もありうる。
そんな手段で脆弱性を封じ込めようとしても何の利益も無い。
Re: (スコア:0)
修正の必要ないバグを口止めする必要もない
Re:賞金を支払う際に秘密保持契約していなかったのかな (スコア:3, すばらしい洞察)
普通に考えればバグ報告のお礼だろう。
Re: (スコア:0)
>HPでは脆弱性の報告から120日が経過したとして、賞金を獲得したことを2月に公表している。
ちゃんと120日間黙っていたじゃないですか。
賞金が口止め料だとしても、セキュリティ関係の場合は期限付きなのが前提です。
Re: (スコア:0)
俺ルールがどうであれ、契約がどうなっていたかが重要かと
Re: (スコア:0)
で、どうなってるの?
Re: (スコア:0)
どうもなってないから公表したんでしょう
Re: (スコア:0)
どうなってるのかもわからないのに
「問題ない!」「問題だ!」
とオレオレ理論を主張しあってるのが今の流れ
Re: (スコア:0)
> その賞金は口止め料だろう。
ちがーうよ。「闇で高く売れる/売られてるものを教えてくれてありがとう」っていうお礼。
脆弱性情報は犯罪組織間で取引されるので、メーカーにバレて修正されれば価値がなくなって組織の資金源を少し潰せる。あるいは公表されてしまってもやはり価値がなくなって組織の資金源を少し潰せる。
だから、修正されないならば公表しなければならない。口止めをすると防御側は把握できず、攻撃側は一層活用しやすくなる。
脆弱性を発見できるのは報告者だけではなくて、独立して複数の勢力が発見することが十分有り得る。その全てを把握することはできないので、分かった分だけ口止めしても抑止力にならない。
力で抑えつけられると思われていたのは30年前の話。もう誰もそんな議論はしていない。
Re: (スコア:0)
お前が何も読んでいないというのはよくわかった