アカウント名:
パスワード:
>Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に>Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、
こんなやり方ありなの?Microsoftじゃなくて、Googleのほう。
善意で(仕事で?)MSに報告してパッチをお願いしたところ、MSはユーザを危険にさらし続けることを選択したそうです。
http://japan.cnet.com/sp/zeroday/story/0,3800105600,20415213,00.htm [cnet.com]Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
その情報だけだと「MSが60日以内にパッチが用意できないならユーザーを危険にさらしてやれ!」というテロリズムにも見える
脆弱性そのものを公開する前に、もっと他の取るべき対応はなかったのか?
修正されなかったこと vs 公開されたこと で単調に議論されているけど、60日での修正が困難と回答したMSの判断が正しかったのかどうか、ソフトウェアエンジニアリングの観点からもっと議論されるべきですね。
MSがセキュリティの問題を60日で修正する能力がないのであれば、別のソフトに乗り換えるというユーザもいるのではないでしょうか。氏は60日が十分な期間だと思ったから公開に踏み切ったわけでしょう?
この問題に関しては、マイクロソフトと氏がどのようなやり取りをしたのかによって責任の所在がかわってくると思います。
以下のようなケースであれば、マイクロソフトが責任ある態度をとらず、ユーザを危険にさらし続ける行動を取っているものとして認識されるべきです。
・マイクロソフトが修正の意向を示さなかった。・マイクロソフトが修正について曖昧な態度をとり続けた(修正目途を示さなかった)・マイクロソフトは問題の概要とHCPを無効化するというソリューションを最優先でユーザに提供することを約束しなかった
逆に以下のような場合であれば、氏の行動に問題があったものとして認識されるべきです。
・マイクロソフト修正について目安日を示していたが確約していなかったことを事由として公開に及んだ
そして、今回の場合マイクロソフトから「修正することを約束したのに彼がフライングした」という反論は出ていないところから判断すると、今回のケースは前者だったのだろうと推測します。したがって、追加で氏とのやり取りを示す資料などが公開されない限り責任ある態度を取らなかったマイクロソフトに問題があるという印象は否めないですね。
ところで、マイクロソフトはセキュリティホールの売りにしています。こうしたユーザからの報告を放置することによって実際のセキュリティホールの数をもっと少なく見せようとしている行動は、詐欺に近いもので、是正されるべき行動だと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
なにこれ (スコア:0, フレームのもと)
>Google の研究者の Tavis Ormandy 氏が Windows XP のゼロデイ脆弱性を公開した際に
>Microsoft から非難を受けた事にも示される「セキュリティ研究者への敵意」に対抗するため、
こんなやり方ありなの?
Microsoftじゃなくて、Googleのほう。
MSに報告したところ無碍にされた (スコア:2)
善意で(仕事で?)MSに報告してパッチをお願いしたところ、
MSはユーザを危険にさらし続けることを選択したそうです。
http://japan.cnet.com/sp/zeroday/story/0,3800105600,20415213,00.htm [cnet.com]
Ormandy氏は、60日以内にパッチを準備するようMicrosoftと5日間「交渉」して物別れに終わった後、悪意のあるハッカーがこの種のセキュリティホールを悪用する可能性を考えて、情報を公開することを決めたと述べている。
Re: (スコア:0)
その情報だけだと
「MSが60日以内にパッチが用意できないならユーザーを危険にさらしてやれ!」
というテロリズムにも見える
脆弱性そのものを公開する前に、もっと他の取るべき対応はなかったのか?
Re: (スコア:2)
修正されなかったこと vs 公開されたこと で単調に議論
されているけど、60日での修正が困難と回答した
MSの判断が正しかったのかどうか、ソフトウェアエンジニアリング
の観点からもっと議論されるべきですね。
MSがセキュリティの問題を60日で修正する能力がないのであれば、
別のソフトに乗り換えるというユーザもいるのではないでしょうか。
氏は60日が十分な期間だと思ったから公開に踏み切ったわけでしょう?
Re:MSに報告したところ無碍にされた (スコア:2, すばらしい洞察)
> MSの判断が正しかったのかどうか、ソフトウェアエンジニアリング
> の観点からもっと議論されるべきですね。
別に、「議論されるべき」と言われるほど重要じゃないでしょう。
これはソフトウェアエンジニアリングの問題ではなく、60日以内に修正できるか
確約をすることのリスクの問題です。
責任感の無い会社なら「はい、わかりました。必ず**以内に」と適当に回答する
ところでしょうけれど、たいていの責任感のある会社の場合は、
「可能な限り急ぎますが、何日いないという確約をすることは困難です」と
答えるものです。
もし修正作業に取り掛かったら、実はすごく難易度の高い修正が必要だと分かり、
間に合わなかった場合にどうなるか考えてのこと。
そして、今回運が悪かったのは、報告してきたやつが、確約が得られなかっただけで
いきなり公開してしまう異常な考えの持ち主だったこと。
> MSがセキュリティの問題を60日で修正する能力がないのであれば、
> 別のソフトに乗り換えるというユーザもいるのではないでしょうか。
いないとは言えませんが、極めて少ないでしょう。
その極少数のユーザのために、他の大多数のユーザを危険にさらしてよい
ということはありません
> 氏は60日が十分な期間だと思ったから公開に踏み切ったわけでしょう?
その割には報告から4日か5日目で公開しているという。
50日過ぎてから公開しているわけではないんですよ。
こういう技術力がある人間が、人間性としても優れているわけではないということは
ちゃんと分かっておかないと、技術優先で倫理観を持たない技術者が増える原因と
なっちゃいます。
Re:MSに報告したところ無碍にされた (スコア:2)
この問題に関しては、マイクロソフトと氏がどのようなやり取りをしたのかによって責任の所在がかわってくると思います。
以下のようなケースであれば、マイクロソフトが責任ある態度をとらず、ユーザを危険にさらし続ける行動を取っているものとして認識されるべきです。
・マイクロソフトが修正の意向を示さなかった。
・マイクロソフトが修正について曖昧な態度をとり続けた(修正目途を示さなかった)
・マイクロソフトは問題の概要とHCPを無効化するというソリューションを最優先でユーザに提供することを約束しなかった
逆に以下のような場合であれば、氏の行動に問題があったものとして認識されるべきです。
・マイクロソフト修正について目安日を示していたが確約していなかったことを事由として公開に及んだ
そして、今回の場合マイクロソフトから「修正することを約束したのに彼がフライングした」という反論は
出ていないところから判断すると、今回のケースは前者だったのだろうと推測します。したがって、追加で氏とのやり取りを示す資料などが公開されない限り責任ある態度を取らなかったマイクロソフトに問題があるという印象は否めないですね。
ところで、マイクロソフトはセキュリティホールの売りにしています。こうしたユーザからの報告を放置することによって実際のセキュリティホールの数をもっと少なく見せようとしている行動は、詐欺に近いもので、是正されるべき行動だと思います。