アカウント名:
パスワード:
むしろ必要に迫られなければ対応しない
分かるかどうか」自体が見る人間に依る
その「必要に迫られた」時点で判明時よりも随分とオオゴトになってしまい、対応期限も切羽詰ってえらい事にしてしまう「リスクマネジメント」ができない偉い人が多いような気がします。 #迫られない段階なら余裕あったりすることもあるんですけどね……。
ついつい先延ばしで楽な方に流れるのは担当者個人レベルでも良くある事なんで、まあ自戒しないとなんですが。
コメントに反応するのも無粋なんですが、ちゃんと危険度評価できないとぷちデスマを引き寄せちゃいますよ。
「マネジメントの結果として、一つか二つは大事になる」があっても 「マネジメントの失敗」とは限らない。
えー「重大性を見誤ったインシデントが炎上」は(多発性でなければ)マネジメントの破綻ではなく個々のインシデントでのミスですが、「放置しておいても偶にしか炎上しないからOK」てのはマネジメントの欠如ですよね。 どうにも#1403020や#1403059の前提は後者のように読めるのですが……。
なんというかこれ以上は「釈迦に説法」ということのようなので、もしいらっしゃるなら目を通された方々の判断にお任せします。 #私なら一生を待つことなく転職します:p
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
1ヶ月で直るってどういうことだ (スコア:3, すばらしい洞察)
Intelの Errata に書いてあるものを利用して攻撃して見せましょう、と言ってるんだから。
と言うことは、Errata上は「バグがあるのは判っている、直せない」になってたってことだ。
直すの自体はマイクロコードを更新するだけで済むだろうし、それなら Windows Update やら BIOS update やらで直せるんだろうが、ここまで外圧を食らってつつかれないと直そうとしないってのはどういうコスト・リスク分析の結果なのか、ちょっと白状しなさいと Intel に言いたくなる。
fjの教祖様
Re:1ヶ月で直るってどういうことだ (スコア:0)
>直すの自体はマイクロコードを更新するだけで済むだろうし、
>それなら Windows Update やら BIOS update やらで直せるんだろうが、
>ここまで外圧を食らってつつかれないと直そうとしないってのは
>どういうコスト・リスク分析の結果なのか、ちょっと白状しなさいと Intel に言いたくなる。
むしろ必要に迫られなければ対応しないのは商売の基本(というか基本願望)だと思うけど?
#これが分かってない人は過労死。
Re:1ヶ月で直るってどういうことだ (スコア:2, 興味深い)
どうも根本的に何も判っていないようだね。経済論を振り回せばなんでも隠せると思ってはいけないよ!?
この手のバグは必ず『深刻度』を見積もる。
見積もって「大した事ないな」となったら対応しない。これは別に不思議ではない。
問題は「一般命令に存在するそのバグを駆使するだけで、特権モードでの実行権限が取得できる」類のバグをたいしたことがないと見積もった、そこの所だ。
.
何度も言うがこの障害は Errata に掲載されていたのだ。Errataに掲載されていた性質だけで特権権限を取得できる事が判ると言うことだ。
特権権限を取得できてしまうバグのどこをどう評価したら「大したことがない」になるのか!?
リスクに対する見積もり力の無さは、そのままセキュリティシステムに利用する事の危うさを意味する。と同時に、システムデザイン力の無さをも現す。
私の指摘しているのはそういうことだ。
fjの教祖様
Re: (スコア:0, 荒らし)
>Errataに掲載されていた性質だけで特権権限を取得できる事が判ると言うことだ。
「分かるかどうか」自体が見る人間に依る、ということが「分かる」かな?
ふと偶然に「分かる」こともあれば、さんざんに検証してみて「分かる」こともある。
逆に「分からない」こともあるし、世の中の基本は「分からない」から始まる。
「分かる」ことなんて世界の中のほんの一握りに過ぎないし、
「分かろうとする」ことには当然時間も金もかかる。じゃあどれを「分かる」か。
そこで「すべてを分かれ」を要求するのはリスクマネジメントでも何でもない。
単なるお子様の脳内妄想、「僕は神様なんだ、なんでもできるんだ」に過ぎない。
Re:1ヶ月で直るってどういうことだ (スコア:1)
判らない奴がプロセッサつくりのマネージメントなんぞやってはいけない。
fjの教祖様
Re: (スコア:0)
これで重要度のより高い問題の修正が遅れたわけだが、なんとも思わないのかね?
Re:1ヶ月で直るってどういうことだ (スコア:1)
fjの教祖様
Re: (スコア:0)
その「必要に迫られた」時点で判明時よりも随分とオオゴトになってしまい、対応期限も切羽詰ってえらい事にしてしまう「リスクマネジメント」ができない偉い人が多いような気がします。
#迫られない段階なら余裕あったりすることもあるんですけどね……。
ついつい先延ばしで楽な方に流れるのは担当者個人レベルでも良くある事なんで、まあ自戒しないとなんですが。
コメントに反応するのも無粋なんですが、ちゃんと危険度評価できないとぷちデスマを引き寄せちゃいますよ。
Re: (スコア:0)
>対応期限も切羽詰ってえらい事にしてしまう
>「リスクマネジメント」ができない偉い人が多いような気がします。
>#迫られない段階なら余裕あったりすることもあるんですけどね……。
「マネジメントの結果として、一つか二つは大事になる」があっても
「マネジメントの失敗」とは限らない。
すべてのリスクを完璧に対応しろ、こそよっぽどマネジメントになっていないお子様の妄想に過ぎないわけで、
一つの枝葉だけ捕まえてマネジメントと叫ぶのは単なる道化だね。
#これが分からない人は一生下働き。
Re: (スコア:0)
えー「重大性を見誤ったインシデントが炎上」は(多発性でなければ)マネジメントの破綻ではなく個々のインシデントでのミスですが、「放置しておいても偶にしか炎上しないからOK」てのはマネジメントの欠如ですよね。
どうにも#1403020や#1403059の前提は後者のように読めるのですが……。
なんというかこれ以上は「釈迦に説法」ということのようなので、もしいらっしゃるなら目を通された方々の判断にお任せします。
#私なら一生を待つことなく転職します:p
Re: (スコア:0)