アカウント名:
パスワード:
悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?
いや、ゼロデイ公開したProject Zeroを責めるのは違う。だってルールを破ったのはM$の方でしょ?M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。
まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。だからルール通りに公表した。全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。
> だってルールを破ったのはM$の方でしょ?いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。
確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程でMicrosoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの結局間に合わないということで公開された流れのように読めました。Issue へのコメント参照。
Project Zeroの提示する「90日」「+14日」に何か根拠があって、その期限にどうしても間に合わせる必要があるのか?と考えると別にそんなことはなくて、+14日が+20日に伸びたところで大した差はない。
もしMSが修正パッチを出す気がないなら脆弱性を公開して注意を呼び掛けるのも致し方ないが、予定されている修正パッチを待たずに脆弱性を公開すると年末年始に多くの利用者を危険にさらすことになる。
3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
大事なことだからもう一度言います。
Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
本当に犯罪者を利することになるなら公開なんてやらないでしょ。公開してもほとんど問題ない、つまりリスクがかなり低いとの見通しだから公開するのだと気付いてください。
Project Zeroは90日+14日ルールに基づいて公開してるだけでしょ。悪用リスクが高いからと公開を先延ばしにしたケースがあったなら教えて?
そういうケースがあったかどうかは知りません。前例があれば先延ばしにすることがあるのかどうかも知りません。少なくとも今回M$側はProject Zero側に公開の先延ばしを申し入れたわけでそういう先延ばしを申し入れることができる体制は重要だと思うし、その申し入れを受け入れることも拒否できることもできる体制がある、ということもやはり同じくらい重要だと思っています。で、私が言いたかったことは、元コメントの方が
>3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、>犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
と言っていて、そういった行動や体制をまるで否定しているかの意見を述べている、これは違うんじゃないかということなんです。結果としてProject Zero側は先延ばしを拒否したわけですが、最初からはM$の申し入れを全否定したわけじゃなかったと思うんです。そうじゃなかったらそもそも協議自体を受け入れるはずがない、協議を受けた時点で聞く耳は持っていたんですよ。だから今回の件もそうだし同様の場合もそうですが、単純にルールに基づいて公開しただけとは私には思えません。リスクを考えた末の公開だと思われるわけです。その上でルールを変更してでも公開・非公開を変更することはアリだと思いますし、前例がないからやりませんではダメだと思います。一様に「90日+14日ルールに基づいて公開してるだけ」だったらやはり元コメントを引用するなら「犯罪者を利する」ことになるだけです。誤解があったら申し訳ないです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
1/12まで待てなかったのかよ (スコア:0)
悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?
Re: (スコア:0, オフトピック)
いや、ゼロデイ公開したProject Zeroを責めるのは違う。
だってルールを破ったのはM$の方でしょ?
M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。
まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
だからルール通りに公表した。
全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。
Re: (スコア:3, すばらしい洞察)
> だってルールを破ったのはM$の方でしょ?
いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。
「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。
MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。
なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。
Re: (スコア:0)
確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程で
Microsoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの
結局間に合わないということで公開された流れのように読めました。
Issue へのコメント参照。
Re: (スコア:0)
Project Zeroの提示する「90日」「+14日」に何か根拠があって、その期限にどうしても間に合わせる必要があるのか?
と考えると別にそんなことはなくて、+14日が+20日に伸びたところで大した差はない。
もしMSが修正パッチを出す気がないなら脆弱性を公開して注意を呼び掛けるのも致し方ないが、
予定されている修正パッチを待たずに脆弱性を公開すると年末年始に多くの利用者を危険にさらすことになる。
3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
Re: (スコア:1)
大事なことだからもう一度言います。
Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
本当に犯罪者を利することになるなら公開なんてやらないでしょ。
公開してもほとんど問題ない、つまりリスクがかなり低いとの見通しだから公開するのだと気付いてください。
Re:1/12まで待てなかったのかよ (スコア:0)
Project Zeroは90日+14日ルールに基づいて公開してるだけでしょ。
悪用リスクが高いからと公開を先延ばしにしたケースがあったなら教えて?
Re:1/12まで待てなかったのかよ (スコア:1)
そういうケースがあったかどうかは知りません。前例があれば先延ばしにすることがあるのかどうかも知りません。
少なくとも今回M$側はProject Zero側に公開の先延ばしを申し入れたわけで
そういう先延ばしを申し入れることができる体制は重要だと思うし、
その申し入れを受け入れることも拒否できることもできる体制がある、ということもやはり同じくらい重要だと思っています。
で、私が言いたかったことは、元コメントの方が
>3ヶ月掛かっても脆弱性を直せないMSも大概だが、それは単に無能というだけであって、
>犯罪者を利することになると知りつつ公開するProject Zeroは責任の重さが違う。
と言っていて、そういった行動や体制をまるで否定しているかの意見を述べている、これは違うんじゃないかということなんです。
結果としてProject Zero側は先延ばしを拒否したわけですが、最初からはM$の申し入れを全否定したわけじゃなかったと思うんです。
そうじゃなかったらそもそも協議自体を受け入れるはずがない、協議を受けた時点で聞く耳は持っていたんですよ。
だから今回の件もそうだし同様の場合もそうですが、単純にルールに基づいて公開しただけとは私には思えません。リスクを考えた末の公開だと思われるわけです。
その上でルールを変更してでも公開・非公開を変更することはアリだと思いますし、前例がないからやりませんではダメだと思います。
一様に「90日+14日ルールに基づいて公開してるだけ」だったらやはり元コメントを引用するなら「犯罪者を利する」ことになるだけです。
誤解があったら申し訳ないです。