アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
「時限を切ってそれを過ぎたら公表する」
「直したんなら謝罪文を載せろ」
「時限を切ってそれを過ぎたら公表する」 そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。 まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセキュリティサービスを買わせるような本当のゴロもいるみたいだけど)多少は大目に見れるけど、やってる事は一緒。
「いゃそんな事は無い」とおっしゃるかもしれませんが、受け取る側はそう受け取っているという事で、指摘する側が「これで十分だ」と思っている「思いやり」では足らないという指摘をしているつもり。
ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。
いよいよ総会屋じみて来ましたね。 総会屋が何で金取れるか知ってますか? 企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。 プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。 警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
では、「どう
「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
「特別扱いして欲しい」という期待を表明しているのではなく、別のアプローチをしないとスムーズなコミュニケーションの妨げになるという現実を指摘しているのです。 うまくコミュニケーションを取るためのKnowHowとしてプログラマサイドの考え方を示しているだけで、それを要求する気はありません。
最大限の情報が公開されるべきでしょう。
その点には同意しますが、その「最大限の情報公開」は、何もプログラマから「コントロールしている実感」を奪い取ってまで「セキ
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか? 商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。
何もプログラマから「コントロールしている実感」を奪い取ってまで「セキュリティ専門家」が行わなくても良いのではないですか?
プログラマ自らが情報公開をするよう促し、お願いする事でも満たされる要件ではないですか?
「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。
もちろん「義務」なんかじゃありません。 尊重した方がコミュニケーションが円滑に進むよというサジェスチョンを与えているだけです。 使用者が情報交換することに作者が文句をつける根拠はないと思います。
それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。
ユーザに労働まで強要するんですか?
あなたが「強要」されてると考えている「労働」の何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフトをフリーソフトプログラマは無償で提供してるんですよ。 それを「無能」呼ばわりですか。
kjmさん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリ
「初っ端にいきなりコワモテで来られれば」という特定条件下での行動として「逃げる」と書いてるだけなのに、そういう前提条件を無視して「逃げるようなヤツは思いやりが無い」ですか。はぁ。
「セキュリティーホールの発見」というのは、自分で見つけたのであれ、他人に指摘されたのであれ、「他者からの賞賛」を減ずるもので、フリーソフトプログラマの糧に対する直接的ダメージです。 そのダメージを受けている所に「○○日までに~」という他からの「コントロール」が入る、あるいは、プログラマ本人に知らせる前に他者へセキュリティーホールを公表されてしまうと「自分がコントロールしている」という実感さえも失ってしまう結果となります。 その上、「セキュリティ専門家」が自分のプログラムのセキュリティーホールを見つけて公表する事により賞賛を浴びるというのは、自分が開墾したノウアスフィアに入り込んで成果物を奪っていく行為にも等しい事です。
ところで、あなたはノウアスフィアの開墾 [cruel.org]という論文を読んだことがありますか?
指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います。
という部分を引用して「その通りの展開になってる」って書いてるけど、あれは早く引っ込めた方がいいんじゃない? 明らかに間違ってるのは「パスワードのMD5値の事をパスワードと書いてるjbeefさん」であって、それを指摘した側が「間違ってない」と否定されて(そしてそれは明らかに間違い)それに再反論するのに余計なエネルギーを使っ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
私刑、ですか…… (スコア:1)
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。 報告者が通常望んでいるのは、問題の修正と、修正後の利用者に対する告知、であって「謝罪文を載せろ」ではないでしょう。どちらも、利用者の安全性を最大限保つための行為です。
Re:私刑、ですか…… (スコア:0)
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
Re:私刑、ですか…… (スコア:1)
にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。
もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。 ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。 AC さんは問題発見者の「思いやり」の足りなさを強く主張なさっていらっしゃいますが、では、「どうやって逃げるか」などと考えるようなソフトの作者は、その利用者に対して十分な「思いやり」があるのでしょうか? 私は利用者の安全性が最大限尊重されるべきだと思っています。
正直に言って、「どうやって逃げるか」などと考えるような人間がつくったソフトは、とっとと捨ててしまうのが最善だと思いますし、利用者にそれを促すためにも、そのような場合は問題をとっとと公開してしまうのがよいと思ってます。 リスクの存在を知った上で、それでも利用するのはその利用者の自由ですし。
Re:私刑、ですか…… (スコア:0)
いよいよ総会屋じみて来ましたね。
総会屋が何で金取れるか知ってますか?
企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
Re:私刑、ですか…… (スコア:0)
「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
フリーソフトウェアであるか商業プログラムであるかということは、利用
Re:私刑、ですか…… (スコア:0)
「特別扱いして欲しい」という期待を表明しているのではなく、別のアプローチをしないとスムーズなコミュニケーションの妨げになるという現実を指摘しているのです。
うまくコミュニケーションを取るためのKnowHowとしてプログラマサイドの考え方を示しているだけで、それを要求する気はありません。
その点には同意しますが、その「最大限の情報公開」は、何もプログラマから「コントロールしている実感」を奪い取ってまで「セキ
Re:私刑、ですか…… (スコア:0)
> お願いする事でも満たされる要件ではないですか?
普通はそうしているんじゃないですか?
Re:私刑、ですか…… (スコア:1)
> 「とりあえず防衛しよう」と考えるのは罪な事ですか?
即座に対策をとらないことは「防衛」じゃなくて攻撃の続行なんですが、わかりませんか?それともわざとわからないフリをしてるのですか?
> プライドだけを糧にしているフリーソフトプログラマのプライドに付けられた傷は癒す方法がありません。
何をプライドにすべきかを完全に誤っているからそんな訳のわからないことを言うのですね。「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。一見動くように見えるけれど、実はでたらめなプログラムをばらまき人を陥れ続けることによって得られたプライドがそんなに大切ですか?無能に「無能」と知らしめないことが思いやりなんですか?こりゃお笑いだ。自分の誤りを指摘してもらった時に、迅速かつ適切に対応や謝罪を行うということを積み重ね、信用を勝ち得れば、それは大いにプライドになるでしょうけどね。
> ハッカー文化では、こうした行動はいささか強力にタブー視されている
これは「ハッカー」の狭いコミュニティの中の話で、ユーザに強要すべきものだとはどこにも書いてありません。あなたは、
>そこに書かれたフリーソフトプログラマの思考形態をじっくりと理解できるだけ丁寧に読
む能力「も」ないようですね。
office
Re:私刑、ですか…… (スコア:0)
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
Re:私刑、ですか…… (スコア:1)
フリーソフトというものは基本的に使用者の自己責任で使用するものではないのでしょうか?
その自己責任において使用者が情報交換することに作者が文句をつける根拠はないと思います。
それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。他の方も書いているように、一般的にはそうなっていますよね?
期限を決められたら強要になるのでしょうか?
対策が期限に間に合わないようであれば情報提供者に公開を待ってもらうように依頼することもできますよね。期限以内にして欲しいことは対策ではなく対応ですから。
何の連絡もないからこそ、プログラマのコントロールを尊重するよりもリスクを放置する危険を重視して公開しているだけではないでしょうか。
うじゃうじゃ
Re:私刑、ですか…… (スコア:0)
>なたのその傍若無人さを見るに、「セキュリティーホールの報告をしても
>取り合ってくれない」「強制力を働かせないと動かない」というのは、単
>にあなた方「セ
Re:私刑、ですか…… (スコア:0)
お前何様のつもりだ?
そこまで言い切るのならてめえで代替パッチなりを作者に提供してから言え。
Re:私刑、ですか…… (スコア:1)
>相手が包丁振りかざして来たら謝るより先に逃げませんか?
包丁つきつけた相手が逃げなかったら、ゴロ呼ばわりすると。ほほう。
>商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟
誰がそんな事を言いました?
> 「謝罪」を要求する
いゃ、私はそのような主張は一度もしていません。
なぜなら、そのような議論をしていないからです。
「ノウアスフィアの開墾」は、ハッカー文化の中の人々、つまりプログラミングをすることができる人を読者として想定してます。プログラミングできて、他人の愚かなプログラムを直してあげることができるにもかかわらず、評論して何もしないのはハッカーの態度としてよくないと書いてあるのです。なぜ「アカデミズム」と対比して書いてあるのかわからないのですか?
あなたはネットにいる人々が皆ハッカーになってプログラミングできるようになることを「コミュニケーション」と勘違いしているようですが、ユーザがそういうあなたの傲慢な思いに従わなければならない理由はどこにもありません。
office
Re:私刑、ですか…… (スコア:1)
自分が作ったプログラムが手に負えなくなったら、ユーザに労働まで強要するんですか?無能ですね。
office
Re:私刑、ですか…… (スコア:0)
さて、この場合は、売り言葉に買い言葉ではないでしょうか。あなた様の立場を考えれば、あまり感情的になられないほうがよろしいかと存じます。あなた様にとってデメリットの方が大きいでしょう。
もう一点。オフトピなのですがお願いがあります。
他力本願堂さんとともにあなた様が行ったNHKのサイト脆弱性の指摘はどのようになったのか、あなたの掲示板で最終結果をご報告いただきたく存じます。(あなた様主催のイベントや、ML、掲示板では情報が細切
Re:私刑、ですか…… (スコア:0)
もちろん「義務」なんかじゃありません。
尊重した方がコミュニケーションが円滑に進むよというサジェスチョンを与えているだけです。 使用者が情報交換することに作者が文句をつける根拠はないと思います。
Re:私刑、ですか…… (スコア:0)
あなたが「強要」されてると考えている「労働」の何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフトをフリーソフトプログラマは無償で提供してるんですよ。
それを「無能」呼ばわりですか。
kjmさん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリ
Re:私刑、ですか…… (スコア:1)
> 何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフト
を無価値にしてしまうそのセキュリティホールを直そうともせず、貢献してきた人々全てを貶める無能の輩が言うわ言うわ。けらけら。
> ××さん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリティゴロ」だと言ってください。
議論で勝てなくなったら、泣き落としですか。
> 48時間以内の返答を要求します。
盗人猛々しいという言葉があるが、この場合は何というのかねぇ。
office
Re:私刑、ですか…… (スコア:0)
最後の最後に持ち上げるような事をちょっとだけ書いて、それだけでしょ。
それともまだ終わってないの?
人のミスを晒してネタにして飯食ってるんだから、事の顛末くらいはしっかり締めて下さい。良かれ悪しかれ。
Re:私刑、ですか…… (スコア:0)
> 仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
逃げるかもしれませんがせめて逃げた後に「何故包丁をつきつけられたのか?」くらいは考えると思います。
もし、つきつけられた瞬間に覚えがあったらその場で謝罪します。
果たしてその行為が包丁をつきつけられるほどであるのか?という議論については無駄だと思います。
ユーザーが皆同じ考え方をしているのであればサポートの必要はありま
Re:私刑、ですか…… (スコア:1)
報告はまず伊藤忠テクノサイエンスがすべきものでしょ。知りたいならまず伊藤忠テクノサイエンスに聞いてください。
それに伊藤忠テクノサイエンスの立場だってあるでしょうに、ここはそういうスレじゃなかったのですか?
> 人のミスを晒してネタにして飯食ってるんだから、
いったいどこをどう曲げたらこうなるのかわからん。が、事の顛末が気になっていて、私にききたい人がいることはわかりました。
office
Re:私刑、ですか…… (スコア:0)
あと、CTCの指摘された方は別人ですよ。ACじゃ区別がつきませんよね?
現時点のステータスはofficeさんのご報告を元に、私の考えや対応策などをまとめている最中です。私の考えがまとまった時点で
Re:私刑、ですか…… (スコア:1)
一方で、素早い fix と適切な情報開示により、利用者の賞賛を得る場合だって多々あるわけです。slashdot.jp を含め、賞賛が足りないという面がないとは言いませんが、中長期的には「よくメンテナンスされている」という評価になると思います。
セキュリティ脆弱性の報告なんて、要は bug report の特殊な形にすぎないと思うんですが、なぜそこまで恐れる必要があるんでしょう。さくっと fix して制御を奪い返してしまえばそれでいいと思うのですが。 実際問題、「フリーソフトだからこそ」商用ソフトよりも素早い fix が実現され、「やっぱフリーソフトの方が安全だね」という評価が得られる事の方が多いと思うのですが。 「逃げ」るなんてヨワヨワな態度と、「Hacking」「ハッカー」「フリーソフト」とは、私の頭の中では結び付かないのですが、AC さんの頭の中では結びつくのですか?
はぁ…… (スコア:1)
AC さんは、どのような報告形態が望ましいと考えていらっしゃるのかを書いた方がいいんじゃないんですか?
歴史は繰り返す (スコア:0)
Re:はぁ…… (スコア:0)
http://srad.jp/comments.pl?sid=45784&cid=171787
的を射ない反論?にまであなたが説明や反論をする。
前掲の主張はなんだったのかと疑問なのですが。
Re:はぁ…… (スコア:0)
という部分を引用して「その通りの展開になってる」って書いてるけど、あれは早く引っ込めた方がいいんじゃない?
明らかに間違ってるのは「パスワードのMD5値の事をパスワードと書いてるjbeefさん」であって、それを指摘した側が「間違ってない」と否定されて(そしてそれは明らかに間違い)それに再反論するのに余計なエネルギーを使っ