アカウント名:
パスワード:
はっきり言って甘えが通用する世界ではないです。ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、Microsoft にチャンスを与えても良かったとは思いますけど。
#言うまでもなく、馬鹿な人間が非難することで情報が地下に潜る方が比較にならないほど困ります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
発見者の態度 (スコア:4, 参考になる)
「ちょっと実験してクラッシュを発見しただけだから、詳しく調べればもっとあるかもよ」
「でも、マイクロソフトと連絡をとるのは、やたら時間がかかるからね。
クラッシュだけで、明白なエクスプロイトがない場合は特に。」
と書いてあるので、IE ユーザはかなり危険な状態にあり
Re:発見者の態度 (スコア:1)
はっきり言って甘えが通用する世界ではないです。ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、Microsoft にチャンスを与えても良かったとは思いますけど。
#言うまでもなく、馬鹿な人間が非難することで情報が地下に潜る方が比較にならないほど困ります。
Re:発見者の態度 (スコア:2, 興味深い)
リターンアドレスが自在に変えられる≒自在にコード埋め込めるのが事実なら、いきなり公開するのは相当無責任だと思うけど。
Re:発見者の態度 (スコア:1)
>はっきり言って、出所の分からないような JPEG 食ってヤラれるようならヤラれた方が 100% 悪い。違います?
すみません、私は
「発見した者には世界・世間に対して責任がある」
という古いアタマの人間なんです。
日本では合法なはずですが、フランスではフル・ディスクロージャは違法だとか
聞いたことがありますから、同様の考えを持つ人も少なくはないようです。
(それが正しい判断かどうかは別として、です。)
「JPEG 食ってヤラれる」以前の問題として、そのような被害が出る危険性を
承知のうえで最善を尽くさなかったことは「無責任」だと思ったのでそう書きました。
実際に被害が出ても、それを Zalewski 氏のせいにしようとは思いません。
誤解を招くような書き方をして申し訳ありませんでした。
>はっきり言って甘えが通用する世界ではないです。
>ただ、Microsoft は報告に対する対応がもっとも良いベンダの一つなので、
>Microsoft にチャンスを与えても良かったとは思いますけど。
そうなんです。ベンダに報告するのは確かに大変ですし、
ICMP の脆弱性を (再?) 発見した Fernando Gont がシスコに特許を取られそうに
なった件などを考えると、リスクが高いと感じる人がいるのもわかります。
でも「面倒だから」といって連絡をとらないのは無責任だと思うんです。
たしかに報告してもしなくても自由なんですけど、公開メーリングリストに
投げるくらいならマイクロソフトに (期限付きででも) 教えておいてもよかった
と思うんですよね。
でも、自分の価値観や道徳観を押し付けるような投稿でしたので、
不愉快な思いをさせてしまったことをお詫びします。
Re:発見者の態度 (スコア:0)
ヤラれた方が悪い、なんていう言い草が通用するほど甘い
世界じゃないんだけどな…
Re:発見者の態度 (スコア:0)
根拠となるデータは、どこにあるんでしょうか?
Re:発見者の態度 (スコア:1, 参考になる)
MSだけでなくそれ以外のベンダも含め、実際に報告してみたらよくわかりますよ。
具体的な事例を出すわけにはいかないので、簡単なエピソードを。
いまでこそセキュリティ問題の専用の対応窓口を用意してあるベンダも少なくないですが、そんなものはほとんどない時代のお話。
いまのようにIPAを通じた報告どころか、日本語による受付もしていないころに、かなりおかしな英語でMSに報告をしたことがあるのですが、素直に「英語がわからないので返事は日本語で欲しい」と書いたところ、きっちりと日本語で今後の修正の予定などについて書かれた返事がきました。あとでMSの中の人に聞いたところ、英語でなく他の言語で書かれている場合でも、その言語がわかる人間に転送し、かならず人間が目を通すとのことだそうです。
Re:発見者の態度 (スコア:0)
まず悪意のあるスクリプトを埋める人間に非があるとは思わないんですか?
爆弾の作り方を載せて、その爆弾で被害者が出る。
Re:発見者の態度 (スコア:0)
Exploitに対する対応の話はどうあれ、答えてねっと [kotaete-net.net]みたいなのを見ちゃうと、「報告に対する対応がもっとも良いベンダ」とはとても言う気になれないな。
/.な人が行くサイトじゃないだろうけど、M$