アカウント名:
パスワード:
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
脆弱性をわざわざ公開するやり方って (スコア:0)
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
・製品の欠陥を公表して、利用者に注意を呼びかけ、製造者には修理を迫る。
と考えれば、公益告知かと。それに大企業ってのは不都合や悪事を隠すってイメージがあるから、しょうがないかと(笑)
ただ、上記はあくまで一般的な製品にあてはまって、ソフトウェア製品になると攻撃者という存在があるのでややこしい。
一般的な製品は公表の利益があるが、ソフトウェア製品の場合は公表には不利益がある。すなわち攻撃者を有利にする。
基本的に脆弱性情報の公開は攻撃者を利し利用者の害になる。かと言って非公開をとすれば、セキュア・プログラミングが普及しないため、攻撃者有利な環境がはびこる。一般製品を例にすれば、設計ミス(製品事故)を非公開とすれば、安全な製品設計につながらない。製品事故を告発することで、安全な製品設計を牽引する。同様に、セキュアな設計とプログラミングを牽引するためには脆弱性情報の公開は必要であり、それによって利用者の利益にもなる。
・ソフトウェア製品において、脆弱性情報公開は利用者の害にも利益にもなるわけだ。
答えが単純な問題じゃなく、矛盾した答えになる問題だから、「単純な答え」を求めちゃあいけない。「矛盾した答え」を受け入れてください。