アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
「時限を切ってそれを過ぎたら公表する」
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。 実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
「時限を切ってそれを過ぎたら公表する」 そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。 まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
個人的な金銭目的の恐喝で
ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。
いよいよ総会屋じみて来ましたね。 総会屋が何で金取れるか知ってますか? 企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。 プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。 警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
では、「どう
ユーザに労働まで強要するんですか?
あなたが「強要」されてると考えている「労働」の何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフトをフリーソフトプログラマは無償で提供してるんですよ。 それを「無能」呼ばわりですか。
kjmさん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
私刑、ですか…… (スコア:1)
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
Re:私刑、ですか…… (スコア:0)
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
Re:私刑、ですか…… (スコア:1)
にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。
もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。
Re:私刑、ですか…… (スコア:0)
いよいよ総会屋じみて来ましたね。
総会屋が何で金取れるか知ってますか?
企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
Re:私刑、ですか…… (スコア:1)
> 「とりあえず防衛しよう」と考えるのは罪な事ですか?
即座に対策をとらないことは「防衛」じゃなくて攻撃の続行なんですが、わかりませんか?それともわざとわからないフリをしてるのですか?
> プライドだけを糧にしているフリーソフトプログラマのプライドに付けられた傷は癒す方法がありません。
何をプライドにすべきかを完全に誤っているからそんな訳のわからないことを言うのですね。「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。一見動
office
Re:私刑、ですか…… (スコア:0)
お前何様のつもりだ?
そこまで言い切るのならてめえで代替パッチなりを作者に提供してから言え。
Re:私刑、ですか…… (スコア:1)
自分が作ったプログラムが手に負えなくなったら、ユーザに労働まで強要するんですか?無能ですね。
office
Re:私刑、ですか…… (スコア:0)
さて、この場合は、売り言葉に買い言葉ではないでしょうか。あなた様の立場を考えれば、あまり感情的になられないほうがよろしいかと存じます。あなた様にとってデメリットの方が大きいでしょう。
もう一点。オフトピなのですがお願いがあります。
他力本願堂さんとともにあなた様が行ったNHKのサイト脆弱性の指摘はどのようになったのか、あなたの掲示板で最終結果をご報告いただきたく存じます。(あなた様主催のイベントや、ML、掲示板では情報が細切
Re:私刑、ですか…… (スコア:0)
あなたが「強要」されてると考えている「労働」の何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフトをフリーソフトプログラマは無償で提供してるんですよ。
それを「無能」呼ばわりですか。
kjmさん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリ
Re:私刑、ですか…… (スコア:1)
> 何千倍、何万倍、物によってはそれを上回る「労働」の成果であるソフト
を無価値にしてしまうそのセキュリティホールを直そうともせず、貢献してきた人々全てを貶める無能の輩が言うわ言うわ。けらけら。
> ××さん。頼むからofficeは「セキュリティ専門家」じゃなくて「セキュリティゴロ」だと言ってください。
議論で勝てなくなったら、泣き落としですか。
> 48時間以内の返答を要求します。
盗人猛々しいという言葉があるが、この場合は何というのかねぇ。
office
Re:私刑、ですか…… (スコア:0)
最後の最後に持ち上げるような事をちょっとだけ書いて、それだけでしょ。
それともまだ終わってないの?
人のミスを晒してネタにして飯食ってるんだから、事の顛末くらいはしっかり締めて下さい。良かれ悪しかれ。
Re:私刑、ですか…… (スコア:1)
報告はまず伊藤忠テクノサイエンスがすべきものでしょ。知りたいならまず伊藤忠テクノサイエンスに聞いてください。
それに伊藤忠テクノサイエンスの立場だってあるでしょうに、ここはそういうスレじゃなかったのですか?
> 人のミスを晒してネタにして飯食ってるんだから、
いったいどこをどう曲げたらこうなるのかわからん。が、事の顛末が気になっていて、私にききたい人がいることはわかりました。
office
Re:私刑、ですか…… (スコア:0)
あと、CTCの指摘された方は別人ですよ。ACじゃ区別がつきませんよね?
現時点のステータスはofficeさんのご報告を元に、私の考えや対応策などをまとめている最中です。私の考えがまとまった時点で
歴史は繰り返す (スコア:0)