アカウント名:
パスワード:
この人はいったいどういう立場で1.セキュリティの専門家(公的機関に勤めている)2.市中のちょっとセキュリティに詳しい一般人3.市中のちょっとセキュリティに詳しい暇人
自分の時間を使ってこんな風に電凸やっているのなら3にしかならないわけだが。1なら文書で問い合わせる?べきかなと思う。しかも、こうやってやり取りを公開しているのは穴を公開しているに等しいしやっていること(市井のセキュリティホールに警鐘)は良いと思うがもっとやり方があるんじゃないかと思う。(足元を掬われないように)老婆じゃないけど心配してるよ。
高名な方なのでちょっと調べればすぐわかると思いますけど1. ですよ
穴を公開しているという点は同感ですねもともと公知のことだとしても高名な氏が攻撃可能な脆弱性だという指摘を公開することによって未対応の脆弱性をより広く知らしめ攻撃リスクを増大させる結果になっていますね
攻撃可能な脆弱性情報の取り扱いについて発見者のモラルにまかされている現状に問題があるのかもしれません
何らかの規制が必要だと思いますね
>高木氏は産総研の職員>高名な氏
高名な産総研の職員であるセキュリティの専門家が、かような電凸をしているのを不思議に思うわけですよ。ですので、>電話で冒頭相手に知らせているようには見えないんですが。(身分を)ということで、>相手は3だと思っているのでは?となるわけですが。勝手なことをすなっ!と、職場関係から怒られないかと、老婆ではないが心配しているのです。
高名な産総研の職員であるセキュリティの専門家が、かような電凸をしているのを不思議に思うわけですよ。
研究目的だよ言わせんな恥ずかしい。
研究=仕事なら、顛末のレポートとか、纏めた報告とか、仕事のoutputありますよね。(一応公的研究所だし)...................あるのかなぁ。
そこまで理解できたんなら、職場関係から怒られるようなこともない立場だってのももうちょっとで理解出来るかな。
> 高名な産総研の職員であるセキュリティの専門家が、> かような電凸をしているのを不思議に思うわけですよ。電凸してPASOMOの馬鹿っぷりを公開→ネットで盛り上がりみんなも電凸→さすがにPASMOの中の人も困り始める→糞サービス終了→決裁者とベンダの首が飛ぶ→クズは仕事がなくなって自殺、一家離散→めでたしめでたし何を疑問に思う。素晴らしいじゃないか。
元コメACですがなんだか判らん書き方してすみませんね。
1.このやり方で問題ない、上長の許可も貰っているセキュリティ専門家としての責任に基づく行動である。
か、あるいは
2.巷の社会システムセキュリティホールを指摘公開するのになにか問題が?(全て自分の責任で勝手にやってますが、なにか?)
どちらの立ち位置なんでしょうねぇ。と、下衆の勘繰りしてしまうわけです。個人日記に公開しているのは2の立ち位置だから、なんでしょうけど。
社会セキュリティホールを塞ぐなら、立場利用して正規の(というのがあるかどうかわ
以前から知っているのなら、日記で取り上げたネタを講演会とかで使っていたりすることとかも知っているはずだと思うんですが。
このやり方で問題ない、上長の許可も貰っているセキュリティ専門家としての責任に基づく行動である。
高木先生としても産総研の業務としてやりたいんでしょうけど、組織のメンバーとしてこの種の活動をすると有形無形のいろいろな圧力をうける(うけた)ので、あくまで個人でやっている、というはなしをどこかできいたような。
いつもやってることだから、今更何か言われるとは思えないわけで。
ええ、いつもと同じ手法で、面白おかしく(傍目には)すっぱり解決されるのであれば、何も申し上げますまい。こうして耳目も集まるわけですし。はっ、それが目的か(笑)
サブスクライバID(EZ番号)の顛末をみていると、一見解決したように見えてより大きな問題を抱えてしまうこともあるように思えるので、微妙な気分になります。(いや、マズい対応をしてしまったのはjbeef氏のせいじゃないのですが…とはいえ…)
今回の場合、マイページ停止センターにて停止するという回避方法があります。
脆弱性を秘密にすると、攻撃リスクは減りますが、利用者自身の対処を妨げます。
この脆弱性は、今の所さほど重大ではありません。利用者によっては放置できるという人から即停止するという人までいるでしょう。即サービス停止される可能性も低いです。
秘密にするより公開する方が益が大きいと思います。
ソフトウェア開発の場合だと、オープンソースでもプロプライエタリでも、セキュリティ脆弱性を調査する第三者はたくさんいて、脆弱性が発見されて実証コードも公開されるなんてことはむしろ正常なことですし、脆弱性の指摘に対して(影響の大きい脆弱性ならば特に)応急対処のアドバイザリを出したりセキュリティフィックスが行われたりといったところまで含めて、セキュリティ脆弱性に対処するシステムというか対策モデルというか、そういうのがある意味確立されていますよね。
いっぽう、本件のような企業サービスにおけるセキュリティ脆弱性への対応は、構
>高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと検出した未対策の脆弱性をインターネットで大々的に宣伝するセキュリティソフトはセキュリティ上の脅威でしかないねセキュリティ専門家なのに攻撃リスクの増大に荷担するとか感覚がおかしいとしか言いようがない
専門家自身での自制が無理なら規制に頼るしかないだろうね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲを呼ぶ -- ある傍観者
いつも思うんだが。 (スコア:1)
この人はいったいどういう立場で
1.セキュリティの専門家(公的機関に勤めている)
2.市中のちょっとセキュリティに詳しい一般人
3.市中のちょっとセキュリティに詳しい暇人
自分の時間を使ってこんな風に電凸やっているのなら3にしかならないわけだが。
1なら文書で問い合わせる?べきかなと思う。
しかも、こうやってやり取りを公開しているのは穴を公開しているに等しいし
やっていること(市井のセキュリティホールに警鐘)は良いと思うが
もっとやり方があるんじゃないかと思う。
(足元を掬われないように)老婆じゃないけど心配してるよ。
Re:いつも思うんだが。 (スコア:0)
高名な方なのでちょっと調べればすぐわかると思いますけど
1. ですよ
穴を公開しているという点は同感ですね
もともと公知のことだとしても
高名な氏が攻撃可能な脆弱性だという指摘を公開することによって
未対応の脆弱性をより広く知らしめ攻撃リスクを増大させる結果になっていますね
攻撃可能な脆弱性情報の取り扱いについて発見者のモラルにまかされている現状
に問題があるのかもしれません
何らかの規制が必要だと思いますね
Re: (スコア:0)
>高木氏は産総研の職員
>高名な氏
高名な産総研の職員であるセキュリティの専門家が、
かような電凸をしているのを不思議に思うわけですよ。
ですので、
>電話で冒頭相手に知らせているようには見えないんですが。(身分を)
ということで、
>相手は3だと思っているのでは?
となるわけですが。
勝手なことをすなっ!
と、職場関係から怒られないかと、
老婆ではないが心配しているのです。
Re:いつも思うんだが。 (スコア:1)
研究目的だよ言わせんな恥ずかしい。
Re: (スコア:0)
研究=仕事なら、顛末のレポートとか、纏めた報告とか、
仕事のoutputありますよね。(一応公的研究所だし)
...................
あるのかなぁ。
Re: (スコア:0)
そこまで理解できたんなら、職場関係から怒られるようなこともない立場だってのももうちょっとで理解出来るかな。
Re: (スコア:0)
> 高名な産総研の職員であるセキュリティの専門家が、
> かような電凸をしているのを不思議に思うわけですよ。
電凸してPASOMOの馬鹿っぷりを公開→ネットで盛り上がりみんなも電凸→さすがにPASMOの中の人も困り始める→糞サービス終了→決裁者とベンダの首が飛ぶ→クズは仕事がなくなって自殺、一家離散→めでたしめでたし
何を疑問に思う。素晴らしいじゃないか。
Re: (スコア:0)
元コメACですがなんだか判らん書き方してすみませんね。
1.
このやり方で問題ない、
上長の許可も貰っている
セキュリティ専門家としての責任に基づく行動である。
か、あるいは
2.
巷の社会システムセキュリティホールを指摘公開
するのになにか問題が?
(全て自分の責任で勝手にやってますが、なにか?)
どちらの立ち位置なんでしょうねぇ。
と、下衆の勘繰りしてしまうわけです。
個人日記に公開しているのは2の立ち位置だから、なんでしょうけど。
社会セキュリティホールを塞ぐなら、立場利用して正規の(というのがあるかどうかわ
Re: (スコア:0)
以前から知っているのなら、日記で取り上げたネタを講演会とかで使っていたりすることとかも知っているはずだと思うんですが。
Re: (スコア:0)
高木先生としても産総研の業務としてやりたいんでしょうけど、組織のメンバーとしてこの種の活動をすると有形無形のいろいろな圧力をうける(うけた)ので、あくまで個人でやっている、というはなしをどこかできいたような。
Re: (スコア:0)
いつもやってることだから、今更何か言われるとは思えないわけで。
Re: (スコア:0)
ええ、いつもと同じ手法で、面白おかしく(傍目には)すっぱり解決されるのであれば、
何も申し上げますまい。
こうして耳目も集まるわけですし。
はっ、それが目的か(笑)
Re:いつも思うんだが。 (スコア:1)
サブスクライバID(EZ番号)の顛末をみていると、一見解決したように見えてより大きな問題を抱えてしまうこともあるように思えるので、微妙な気分になります。
(いや、マズい対応をしてしまったのはjbeef氏のせいじゃないのですが…とはいえ…)
Re: (スコア:0)
今回の場合、マイページ停止センターにて停止するという回避方法があります。
脆弱性を秘密にすると、攻撃リスクは減りますが、利用者自身の対処を妨げます。
この脆弱性は、今の所さほど重大ではありません。
利用者によっては放置できるという人から即停止するという人までいるでしょう。
即サービス停止される可能性も低いです。
秘密にするより公開する方が益が大きいと思います。
Re: (スコア:0)
ソフトウェア開発の場合だと、オープンソースでもプロプライエタリでも、セキュリティ脆弱性を調査する第三者はたくさんいて、脆弱性が発見されて実証コードも公開されるなんてことはむしろ正常なことですし、脆弱性の指摘に対して(影響の大きい脆弱性ならば特に)応急対処のアドバイザリを出したりセキュリティフィックスが行われたりといったところまで含めて、セキュリティ脆弱性に対処するシステムというか対策モデルというか、そういうのがある意味確立されていますよね。
いっぽう、本件のような企業サービスにおけるセキュリティ脆弱性への対応は、構
Re: (スコア:0)
>高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと
検出した未対策の脆弱性をインターネットで大々的に宣伝するセキュリティソフトは
セキュリティ上の脅威でしかないね
セキュリティ専門家なのに攻撃リスクの増大に荷担するとか
感覚がおかしいとしか言いようがない
専門家自身での自制が無理なら規制に頼るしかないだろうね