アカウント名:
パスワード:
Windows Security Blogの該当ポスト [microsoft.com]を読め。
ブラウザ10画面以上にわたる長文記事の大半は技術的な解説で、Googleの対応を批判しているのは最後から2つ目の2段落のみ。Googleが報告からわずか4日後に修正してきたことや、Microsoftに7,500ドルの報奨金を支払ったことも紹介しているし、最終段落では、「考え方は違うが、我々はユーザーを守るために協力できると確信している」とも述べている。わざわざここだけ取り上げるメディアもいただけない。
批判の内容としてはGithubへの公開が早すぎるというもので、例えば、バグトラッカーでは非公開扱いされているsecurity issueの修正が、Githubにテストコード付きで公開されているようなケースがあるとのこと。これは攻撃者に脆弱性を攻撃する時間的余裕を与えてしまう。
Chromeの場合はChromiumとの関係があるから少し難しいが、一般論としては議論の余地もないような当然の話で、著名なソフトウェアでは、セキュリティフィックスは別のブランチで管理して、製品リリースと同時に公開すべきだ。例えばWPA2の脆弱性の時も、Linuxは脆弱性公開までfixを非公開にしていた。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
だれもソースを読んでないな (スコア:3, 参考になる)
Windows Security Blogの該当ポスト [microsoft.com]を読め。
ブラウザ10画面以上にわたる長文記事の大半は技術的な解説で、Googleの対応を批判しているのは最後から2つ目の2段落のみ。
Googleが報告からわずか4日後に修正してきたことや、Microsoftに7,500ドルの報奨金を支払ったことも紹介しているし、
最終段落では、「考え方は違うが、我々はユーザーを守るために協力できると確信している」とも述べている。
わざわざここだけ取り上げるメディアもいただけない。
批判の内容としてはGithubへの公開が早すぎるというもので、例えば、バグトラッカーでは非公開扱いされている
security issueの修正が、Githubにテストコード付きで公開されているようなケースがあるとのこと。
これは攻撃者に脆弱性を攻撃する時間的余裕を与えてしまう。
Chromeの場合はChromiumとの関係があるから少し難しいが、
一般論としては議論の余地もないような当然の話で、著名なソフトウェアでは、
セキュリティフィックスは別のブランチで管理して、製品リリースと同時に公開すべきだ。
例えばWPA2の脆弱性の時も、Linuxは脆弱性公開までfixを非公開にしていた。