アカウント名:
パスワード:
自分のkindleは5.13.6でした。5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。
であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。
ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。
予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
バージョン確認 (スコア:0)
自分のkindleは5.13.6でした。
5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
Re:バージョン確認 (スコア:2, 興味深い)
修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。
であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。
ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。
Re: (スコア:0)
予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束