アカウント名:
パスワード:
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとな
賛成します。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに60日という期限に対し答えなかったのはMicrosoftは修正する気がなかったと判断されても仕方ないのではないでしょうか
実際2日後にパッチが出せるなら、60日内に完全な解決は無理かもしれないが、2日後には不完全でもパッチを出せるから待って欲しい、といったことをMicrosoft側もTavisさんに伝えられたはずなのにそれさえしなかった、そういうことなのだと思います。
TavisさんはHPCプロトコルを使うのをやめればとりあえず問題が解決するということも伝えていたはずなのでその方法をユーザー登録している全てのユーザーに伝えるといったこともMicrosoftなら出来たはずです。
60日間待っても全く対応する気が無いと予想される状況だったなら、60日待って公開するのは待っている時間の分、危険性を高めるだけです。選択肢は永遠に公開しないか、すぐ公開するか、だと思います。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに 60日という期限に対し答えなかったのは Microsoftは修正する気がなかったと判断されても 仕方ないのではないでしょうか
FixIt は「一時的にその問題を回避するための処置」であり、それによる他への影響を一切考慮しないことが前提で提供されます。つまり、該当機能を利用していて業務上問題が発生するかもしれないが、とりあえずはこれで危険は回避できますという形での提供です。適用する側もそれを理解した上で行う必要があります。 ここには「回避できるかどうか」という点の検証だけがあれば十分で、OS の動作上致命的な問題が発生しないのであればすぐに公開できるものです。
また、こうした点から FixIt は KB としては提供されますが、Windows Update レベルで突然配布されるようなことはありません。
対して、60 日以内として求められていた修正は、該当の脆弱性のみを潰した上で他の機能に影響を与えない、または影響を与えても最小限で済むことが保証され、その上で様々な環境での動作テストが行われた状態でリリースされる事を前提としています。
Windows Update でリリースした日にいきなり数千万台以上にインストールされ、適用後にそれらのマシンが問題なく稼働する事を大前提とするものです。つまり、対応に求められるレベルがまったく異なるものです。 パッチを提供する (= リリースする) ということは、リリースのための工程にかかる期間も含めて考える必要がありますし、この場合求められているのは「60 日以内に Windows Update で提供される事」と考えていいでしょう。 これを考慮すると、責任ある立場から考えたら「60 日以内に修正をリリースする事を確約する」なんていうのはとてもではないけどできるようなものでは無いと思いますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:0, 荒らし)
#タイトルが凄いオフトピだぞ俺
責任ある開示とは何か--オーマンディ氏の情報開示の「責任」は [cnet.com]
#反射神経でコメント書き込む前に、ググれ♪
Re: (スコア:2, すばらしい洞察)
MSに非公開で脆弱性を連絡し、60日間での修正を求めたところは問題ない。
ただ、MSと修正を出すまでの期間で要求が受け入れられなかったので、
正常な判断を失い、最初の連絡からたった4日めで脆弱性を公開したということ。
全然、氏の行動を擁護できる筋は存在しない。
最初はユーザのことを考えて60日間という期限を切ったということと、
実際には4日めで公開して多くのユーザを危険にさらしたという行為が
まったく矛盾している。
強制公開するなら、最初の自分の要求である60日を過ぎたときだろ。
無知じゃない人なら、それは理解できるはずだ。
無智無恥な人なら、氏が正しいと思うかもしれない。
Re: (スコア:1, 参考になる)
今はセキュリティホールの情報は闇市場で驚くほどの数が売られているんだけど、
最も価値が高いのは「未公開のセキュリティホール」で、なおかつ「開発元が一定期間以内には
『絶対に直せない』」、つまりその期間内だったら確実に使える、と分かっている類の物な訳で。
今回公開されたことで、研究者自身とその企業(Google)がそうした価値の高い情報を保持し続けてしまうリスクを
軽減すると共に、MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
可能性を提供した訳なんだが、それでも無責任と言えるの?
Re: (スコア:2, すばらしい洞察)
>MSが製品を直せなくてもセキュリティソフトベンダーが何らかの手段で対応するなり警告するなり出来る
>可能性を提供した
それが目的なら、セキュリティソフトベンダーに直接情報を送ればいいだけのことで
一般公開する必要性はありませんね。
脆弱性が公開されることで、その脆弱性に気づいていなかった悪意あるユーザーにまで情報が行き渡ってしまい、被害は拡大することでしょう。
「大問題にしてMS叩きをしてやれ」という、無責任なネットイナゴ並の思考で行動してしまったようにしかみえません。
ψアレゲな事を真面目にやることこそアレゲだと思う。
論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃうぞ (スコア:4, 参考になる)
まず大前提として、件の行動は非難派も擁護派もおり、統一的な見解が出ている状況ではありません。
次に、「業務時間外での発見」である為、「Tavis氏の行動には制約がない=訴訟リスクを個人が負うしかない」状況です。
また、「脆弱性から守るためにどうすれば良いか考えた末の行動である」というのも前提としておかないと意味がないです。
# そうでなければ彼の行動の最適解は「見なかったことにする」しかないからです。
その上で、個別の事例として見なければ意味はありません。
今回60日以内に直して欲しいとリクエストして、無理だ、確定的な返事も出来ないとな
Re: (スコア:1, すばらしい洞察)
賛成します。
今回、一般公開してから2日で、不完全ながらもパッチを出せたのに
60日という期限に対し答えなかったのは
Microsoftは修正する気がなかったと判断されても
仕方ないのではないでしょうか
実際2日後にパッチが出せるなら、
60日内に完全な解決は無理かもしれないが、
2日後には不完全でもパッチを出せるから待って欲しい、
といったことをMicrosoft側も
Tavisさんに伝えられたはずなのにそれさえしなかった、
そういうことなのだと思います。
TavisさんはHPCプロトコルを使うのをやめれば
とりあえず問題が解決するということも伝えていたはずなので
その方法をユーザー登録している全てのユーザーに伝える
といったこともMicrosoftなら出来たはずです。
60日間待っても全く対応する気が無いと予想される状況だったなら、
60日待って公開するのは待っている時間の分、危険性を高めるだけです。
選択肢は永遠に公開しないか、すぐ公開するか、だと思います。
Re:論がざっくりしすぎです(Re:よーし、案の定ムッチ無知のコメントがあるからパパこの記事張っちゃ (スコア:1)
FixIt は「一時的にその問題を回避するための処置」であり、それによる他への影響を一切考慮しないことが前提で提供されます。つまり、該当機能を利用していて業務上問題が発生するかもしれないが、とりあえずはこれで危険は回避できますという形での提供です。適用する側もそれを理解した上で行う必要があります。
ここには「回避できるかどうか」という点の検証だけがあれば十分で、OS の動作上致命的な問題が発生しないのであればすぐに公開できるものです。
また、こうした点から FixIt は KB としては提供されますが、Windows Update レベルで突然配布されるようなことはありません。
対して、60 日以内として求められていた修正は、該当の脆弱性のみを潰した上で他の機能に影響を与えない、または影響を与えても最小限で済むことが保証され、その上で様々な環境での動作テストが行われた状態でリリースされる事を前提としています。
Windows Update でリリースした日にいきなり数千万台以上にインストールされ、適用後にそれらのマシンが問題なく稼働する事を大前提とするものです。つまり、対応に求められるレベルがまったく異なるものです。
パッチを提供する (= リリースする) ということは、リリースのための工程にかかる期間も含めて考える必要がありますし、この場合求められているのは「60 日以内に Windows Update で提供される事」と考えていいでしょう。
これを考慮すると、責任ある立場から考えたら「60 日以内に修正をリリースする事を確約する」なんていうのはとてもではないけどできるようなものでは無いと思いますよ。