アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
「時限を切ってそれを過ぎたら公表する」
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。 実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
「時限を切ってそれを過ぎたら公表する」 そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。 まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
個人的な金銭目的の恐喝で
ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。
いよいよ総会屋じみて来ましたね。 総会屋が何で金取れるか知ってますか? 企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。 プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。 警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
では、「どう
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか? 商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
私刑、ですか…… (スコア:1)
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
Re:私刑、ですか…… (スコア:0)
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
Re:私刑、ですか…… (スコア:1)
にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。
もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。
Re:私刑、ですか…… (スコア:0)
いよいよ総会屋じみて来ましたね。
総会屋が何で金取れるか知ってますか?
企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
Re:私刑、ですか…… (スコア:1)
> 「とりあえず防衛しよう」と考えるのは罪な事ですか?
即座に対策をとらないことは「防衛」じゃなくて攻撃の続行なんですが、わかりませんか?それともわざとわからないフリをしてるのですか?
> プライドだけを糧にしているフリーソフトプログラマのプライドに付けられた傷は癒す方法がありません。
何をプライドにすべきかを完全に誤っているからそんな訳のわからないことを言うのですね。「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。一見動
office
Re:私刑、ですか…… (スコア:0)
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
Re:私刑、ですか…… (スコア:1)
>相手が包丁振りかざして来たら謝るより先に逃げませんか?
包丁つきつけた相手が逃げなかったら、ゴロ呼ばわりすると。ほほう。
>商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟
誰がそんな事を言いました?
> 「謝罪」を要求する
いゃ、私はそのような主張は一度もしていません。
なぜなら、そのような議論をしていないからです。
「ノウアスフィアの開墾」は、ハッカー文化の中の人々、つまりプログラミングをすることができる人を読者として想定してます。プログラミングできて、他人の愚かなプログラムを直してあげることができるにもかかわらず、評論して何もしないのはハッカーの態度としてよくないと書いてあるのです。なぜ「アカデミズム」と対比して書いてあるのかわからないのですか?
あなたはネットにいる人々が皆ハッカーになってプログラミングできるようになることを「コミュニケーション」と勘違いしているようですが、ユーザがそういうあなたの傲慢な思いに従わなければならない理由はどこにもありません。
office