アカウント名:
パスワード:
現実問題3ヶ月経って実害0なんだから今後も何か起こる可能性は低いんだよね。あ、あの役に立たない実証コードコピペは実害とは言わないので念のためw
そうはいっても政府系とか金融系かかえてるクラウドファームは億が一にも可能性残せないから対応せざるを得ないんだけど。だからググルとかMSはうるさい。
その通り。確かに脆弱性ではあるのだけれど、条件を揃えるコストが膨大で更に欲しい情報を手に入れるとなるともはや非現実的。楕円曲線暗号だって偶然パスワードが当たる可能性はゼロじゃないようなもので。
それはそうだろうけどやっぱりjavascriptでキーボードドライバのI/O全部盗めるのは問題だよな。
猿がシェイクスピアを書き出すよりは現実的なんでしょうけどねwセキュリティはコスト対効果なんで、うちはほっときますが。
でもjavascriptでキーボードドライバのI/O全部盗むのは比較的簡単だと思うが。
それは現時点でSpectre関係あるんすかね?
五十歩百歩だって言われたのがわかってないの?何で全く同じフレーズを反復してるの?botなの?
Amazonはお怒りなん?
別にgoogleもMSもAmazonも、対策は出てるし対応完了してるからもう過去の事案になってるよ。C2Dなんて遺物使ってるわけも無いし。
ただ、googleが自分とこだけ対策終わって、MSやAmazonが未対応の時点で不意打ちリークしたことについてはお怒りだったけどね。
そもそも、セキュリティでは情報を抜き取られたことが被害者に認知されたり証拠を残したりするのは三流の仕事だ。一番怖いのは認知も検出もされていないのに必要な情報だけはしっかり盗まれていることだ。
つ Spectre/Meltdown脆弱性を利用したマルウェアが発見 [impress.co.jp]
>あ、あの役に立たない実証コードコピペは実害とは言わないので念のためw
> それらのサンプル中の約83%が、概念実証(PoC: proof-of-concept)コードに基づいて作られていることを確認している(残る17%は未公開)。17%がフルスクラッチしただけで結局PoCと同じかもしれないしPoCベースでも有効な攻撃を組み上げた物があるかもしれない。けど、> 現状、これらを用いた攻撃が行なわれているかは確認されていないって時点で実害は結局(ほぼ)ゼロなんだろうなぁ。
# 攻撃がないのにサンプルが有るってどういう経路で集めたサンプルなんだ。流石に自作(自演)ってことはないと思いたいんだが
殆どがGoogleの実証コード丸コピらしいので改良されて成功確率上がったりとかならやばいですけどそういう話が今の所無いのでまだ大丈夫かと
Strutsの脆弱性とかもこういう馬鹿のせいで放置されてたんだろうなあ
おまえさんみたいな「セキュリティはコスト対効果」って理解できないやからが口出してくると最悪なんだよな。
片や即日バンバン重大な被害がでて、ご丁寧な実証コードをコピペすりゃキッズでも世界中のサーバにリモート進入できる脆弱性
片や公開から3か月経っても実被害ゼロ、対象は全世界の全コンピュータなのにまともに実害出せる実装もなく大手クラウドは対策済み
この2者を同等に扱えってゼロイチ脳は始末に終えんわ。つか年1でスコア10.0のリモート脆弱性バラまくレジェンドStrutsさんをナメんなよ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
大山鳴動して鼠も出てこない (スコア:0)
現実問題3ヶ月経って実害0なんだから今後も何か起こる可能性は低いんだよね。
あ、あの役に立たない実証コードコピペは実害とは言わないので念のためw
そうはいっても政府系とか金融系かかえてるクラウドファームは億が一にも
可能性残せないから対応せざるを得ないんだけど。だからググルとかMSはうるさい。
Re: (スコア:0)
その通り。
確かに脆弱性ではあるのだけれど、条件を揃えるコストが膨大で更に欲しい情報を手に入れるとなるともはや非現実的。
楕円曲線暗号だって偶然パスワードが当たる可能性はゼロじゃないようなもので。
Re: (スコア:0)
それはそうだろうけどやっぱりjavascriptでキーボードドライバのI/O全部盗めるのは問題だよな。
Re: (スコア:0)
猿がシェイクスピアを書き出すよりは現実的なんでしょうけどねw
セキュリティはコスト対効果なんで、うちはほっときますが。
Re: (スコア:0)
でもjavascriptでキーボードドライバのI/O全部盗むのは比較的簡単だと思うが。
Re: (スコア:0)
それは現時点でSpectre関係あるんすかね?
Re: (スコア:0)
五十歩百歩だって言われたのがわかってないの?
何で全く同じフレーズを反復してるの?
botなの?
Re: (スコア:0)
Amazonはお怒りなん?
Re: (スコア:0)
別にgoogleもMSもAmazonも、対策は出てるし対応完了してるから
もう過去の事案になってるよ。C2Dなんて遺物使ってるわけも無いし。
ただ、googleが自分とこだけ対策終わって、MSやAmazonが未対応の時点で
不意打ちリークしたことについてはお怒りだったけどね。
Re: (スコア:0)
そもそも、セキュリティでは情報を抜き取られたことが被害者に認知されたり証拠を残したりするのは三流の仕事だ。一番怖いのは認知も検出もされていないのに必要な情報だけはしっかり盗まれていることだ。
知らぬが仏 (スコア:0)
つ Spectre/Meltdown脆弱性を利用したマルウェアが発見 [impress.co.jp]
Re: (スコア:0)
>あ、あの役に立たない実証コードコピペは実害とは言わないので念のためw
Re: (スコア:0)
> それらのサンプル中の約83%が、概念実証(PoC: proof-of-concept)コードに基づいて作られていることを確認している(残る17%は未公開)。
17%がフルスクラッチしただけで結局PoCと同じかもしれないし
PoCベースでも有効な攻撃を組み上げた物があるかもしれない。
けど、
> 現状、これらを用いた攻撃が行なわれているかは確認されていない
って時点で実害は結局(ほぼ)ゼロなんだろうなぁ。
# 攻撃がないのにサンプルが有るってどういう経路で集めたサンプルなんだ。流石に自作(自演)ってことはないと思いたいんだが
Re: (スコア:0)
殆どがGoogleの実証コード丸コピらしいので
改良されて成功確率上がったりとかならやばいですけど
そういう話が今の所無いのでまだ大丈夫かと
Re: (スコア:0)
Strutsの脆弱性とかもこういう馬鹿のせいで放置されてたんだろうなあ
Re: (スコア:0)
おまえさんみたいな「セキュリティはコスト対効果」って理解できないやからが口出してくると最悪なんだよな。
片や即日バンバン重大な被害がでて、ご丁寧な実証コードをコピペすりゃキッズでも世界中のサーバにリモート進入できる脆弱性
片や公開から3か月経っても実被害ゼロ、対象は全世界の全コンピュータなのにまともに実害出せる実装もなく大手クラウドは対策済み
この2者を同等に扱えってゼロイチ脳は始末に終えんわ。
つか年1でスコア10.0のリモート脆弱性バラまくレジェンドStrutsさんをナメんなよ?