アカウント名:
パスワード:
せめて、「0-day attackの可能性がある脆弱性」くらいにしてくれー
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
「0 day」言いたいだけちゃうんかと (スコア:5, すばらしい洞察)
「0 day」とは元々「0 day 攻撃」として使われてきた言葉です。
つまり、未知の脆弱性がいきなり攻撃に実際に使われた場合を指します。
今回のような、攻撃が起きていない段階で脆弱性が公表されたものを 0 day と呼ぶのは誤った用法です。
脆弱性情報公表後3日後に攻撃が発生したものは、3 day 攻撃でしょう。
Re:「0 day」言いたいだけちゃうんかと (スコア:0)
Re:「0 day」言いたいだけちゃうんかと (スコア:0)
で、その攻撃方法はどこにあるのかね?
その実害はどこに出ているのかね?
0-day attackは[いきなり攻撃される]事の意味なんだけど、あなたの言う[0-day]ってのは、何が0日なのかね。
Re:「0 day」言いたいだけちゃうんかと (スコア:0)
0-day attackは[いきなり攻撃される]事の意味なんだけど
0-day とは、いきなり攻撃される可能性があることを言います。
Re:「0 day」言いたいだけちゃうんかと (スコア:0)
せめて、「0-day attackの可能性がある脆弱性」くらいにしてくれー
そうとすら言えない (スコア:5, すばらしい洞察)
マトモな人によって確認された訳じゃないのだから。
えーと、いかがわしい会合 [toorcon.org]で出てきた証拠のない話が、
日本語訳の過程で "Hackers claim ..." という断り書きが欠落して、
皆さん証明済みの事実のように思い込んで騒いでいるのは滑稽です。
念のために Mozilla のセキュリティ主任が調べてみると言っているので、
近々その結果が出てから、(あるいは本物のエクスプロイトコードが報告されてから)
対応を考えれば宜しいんじゃないでしょうか。
そうは言ってもね (スコア:1)
今回はいかがわしい会合でデモンストレーションをやっちまった
悪意がありそうなhackerさんが発見者ですからね。exploitを
どこかで売り渡しているとも限らないわけで。
>その結果が出てから、(あるいは本物のエクスプロイトコードが
>報告されてから)対応を考えれば宜しいんじゃないでしょうか。
とりあえず対策されるまでは、あやしいサイトをFirefoxでみて
まわるとき、JavaScriptを無効にしておけばいいんじゃないで
しょうか。
モデレータは基本役立たずなの気にしてないよ
Re:そうとすら言えない (スコア:1, すばらしい洞察)
> MozillaのセキュリティチーフWindow Snyder氏は、同プレゼンテーションのビデオを見終えて、
> JavaScript関連の脆弱性は事実であるようだと述べ
>「スライドには、攻撃者が悪用コードを模造するのに十分な情報があったようだ。」
というように、プレゼンテーションを確認して事実であるとわかってるだけで十分。
さらに第三者が悪用できる情報を公開したことに対しても不快感を示していることから、
真実味が感じられたんでしょう。
セキュリティに関する問題は必要以上に心配しても良いくらいであり、
「まて、嘘かもしれない。あわてるな。証拠が出てから」なんていうのは無責任な発言。
少しでも不安材料があれば「危ないかもしれない、気をつけろ」と言おう。
Re:そうとすら言えない (スコア:0)
Re:そうとすら言えない (スコア:0)
>マトモな人によって確認された訳じゃないのだから。
追っかけしてるアイドルの恋愛スキャンダルを必死で見ぬふりのファン、みたいな。
ToorCon 2006って (スコア:1)
ああ、それでvnさんが「いかがわしい会合」って書いたのか(w
# コピペしてしまった自分がなさけない
モデレータは基本役立たずなの気にしてないよ
Re:そうは言ってもね (スコア:1)
うーんうーん、何かoffice事件を思い出しますね…
# 今回は不正アクセスじゃないから、いいのか
――――――――――― バグは金也("Y"enBug)
Re:ToorCon 2006って (スコア:2)
トップページには、「今夜は**ホテルの411号室でパーティーだよ」
などと書いてあります。すごーく迷惑なことをやりそうな連中、
という感じがするんですけど。
Re:そうとすら言えない (スコア:2, 参考になる)
つまり単なる紙芝居を見せられても、脆弱性が実在するかどうか
検証してみなければ何とも言えないわけです。だから持ち帰って
調査すると言っています。
もしも本当に脆弱性があるとすれば、プレゼンを見た人が悪用で
きるだけの情報を不用意に開示してしまうのは遺憾なことです。
(これは確か Microsoft の常套句でしたっけ。)
Re:ToorCon 2006って (スコア:0)
そんなのSIGGRAPHでもありましたけど。彼らもすごーく迷惑な連中なのかなあ。
Re:そうとすら言えない (スコア:0)
自分の目で見たんですか?
脆弱性を修正する前に公開されるのは遺憾だというのはMSの常套句では
ありませんよ。
MSに限らず、アプリケーションを開発して提供している責任あるベンダーなら
全て同じ思いです。
しかし、なぜここでMSの話が出てくるのか理解できないですね。
Firefox擁護し、無関係な話題でもMS批判に持ち込もうということですか?
Re:そうとすら言えない (スコア:0)
> つまり単なる紙芝居を見せられても、脆弱性が実在するかどうか
実演デモをやったらしいですけど。
単なる紙芝居と断言できたのはなぜですか?
Re:そうとすら言えない (スコア:0)
Re:そうとすら言えない (スコア:0)
http://itpro.nikkeibp.co.jp/article/NEWS/20061003/249673/
>セキュリティ・ホールを突くデモも実施された模様。
vnの発言の根拠は示されないみたいだが、いい加減についた嘘なのだろうか。
Re:そうとすら言えない (スコア:0)
>>セキュリティ・ホールを突くデモも実施された模様。
実演されたとは一言も書かれていませんね。文字通りデモムービーを流したのかも知れません。
vnが「紙芝居」と決め付けたのと同様あなたもいい加減ですね。