アカウント名:
パスワード:
登場人物を整理しておきます。k3c氏の投稿には下記の人物/団体が登場します。
私はこれにもう1人加えたいと思います。それは攻撃用のサンプルソースコードを書いて公開した人物(Gobbles Security)です。私はワームのソースを見ましたが、ワームは元々あったトロイの木馬か何かに、このサンプルソースコード貼り付けたように私には見えました。攻撃用のサンプルソースコードがあったからこそ、ワームが完成したと言えます。
k3c氏の定義では「ISS < 駄目管理者 = 駄目ベンダー < ワーム
...サンプルソースコードの作者はどこに挿入すべきか。私はワームの作者の次くらいに悪いと思っています。
これを忘れて管理者の責任問題をとやかく議論するのは論外。自分達の首を絞めあって何がうれしいのか?
気持ちはわからんでもない。が、一方で同じものがアンダーグラウンドでのみ流通するくらいなら、いっそ表に出てくれた方がいいとも思う。少なくとも敵の手口をノンケな管理者が知ることができるメリットはある。管理者ならアンダーグラウンドにも精通しとけ、と言わ
気持ちはわからんでもない。が、一方で同じものがアンダーグラウンドでのみ流通する くらいなら、いっそ表に出てくれた方がいいとも思う。少なくとも敵の手口をノンケな 管理者が知ることができるメリットはある。
例えばプロプライエタリなソフトの脆弱性で、パッチもまだリリースされてないのに攻撃コードだけ公開されたら、それは極めて危険な行為だと思うし、管理者に利するところは限りなく0です。だから当然ですが攻撃のサンプルコードの公開の是非は、そのタイミングも含めてあくまでケースバイケースです。
# あと、サンプルコードでなく攻撃可能なことを論理的に説明するだけで # 十分だろうという批判もあると思う。
論理の正しさを確認するのと、プログラムコードの正しさを確認するのと、どちらかより簡単で確実性が高いかを考えると、必ずしも論理的説明で充分とは思えません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
Gobbles Securityは? (スコア:3, 興味深い)
登場人物を整理しておきます。k3c氏の投稿には下記の人物/団体が登場します。
私はこれにもう1人加えたいと思います。それは攻撃用のサンプルソースコードを書いて公開した人物(Gobbles Security)です。私はワームのソースを見ましたが、ワームは元々あったトロイの木馬か何かに、このサンプルソースコード貼り付けたように私には見えました。攻撃用のサンプルソースコードがあったからこそ、ワームが完成したと言えます。
k3c氏の定義では「ISS < 駄目管理者 = 駄目ベンダー < ワーム
Re:Gobbles Securityは? (スコア:1, すばらしい洞察)
これを忘れて管理者の責任問題をとやかく議論するのは論外。自分達の首を絞めあって何がうれしいのか?
Re:Gobbles Securityは? (スコア:1)
気持ちはわからんでもない。が、一方で同じものがアンダーグラウンドでのみ流通するくらいなら、いっそ表に出てくれた方がいいとも思う。少なくとも敵の手口をノンケな管理者が知ることができるメリットはある。管理者ならアンダーグラウンドにも精通しとけ、と言わ
Re:Gobbles Securityは? (スコア:1)
# あと、サンプルコードでなく攻撃可能なことを論理的に説明するだけで
# 十分だろうという批判もあると思う。
Re:Gobbles Securityは? (スコア:1)
例えばプロプライエタリなソフトの脆弱性で、パッチもまだリリースされてないのに攻撃コードだけ公開されたら、それは極めて危険な行為だと思うし、管理者に利するところは限りなく0です。だから当然ですが攻撃のサンプルコードの公開の是非は、そのタイミングも含めてあくまでケースバイケースです。
論理の正しさを確認するのと、プログラムコードの正しさを確認するのと、どちらかより簡単で確実性が高いかを考えると、必ずしも論理的説明で充分とは思えません。