パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

高木先生、PASMO の「マイページ停止センター」に電凸」記事へのコメント

  • プライバシーとかセキュリティーとかの指摘をしてくれるのは良いことだと思うけどやり方っていうものがあるよね。
    自分がコールセンターの人だったらストレスで鬱になっちゃうな。

    • やりかたも何も、高木先生は最初から直球で本質の問題と答えを言ってますよ。

      それを関係ない定型の受け答えで煙にまいてごまかそうとするから傷を広げてるだけにみえますが。

      >通常、生年月日とか隠してないですよね。一般の人は。
      >電話帳に電話番号載せている人もいるじゃないですか。
      >いや、セキュリティ上問題があって、番号だけで閲覧できちゃうなんてもってのほかだから、さっさと止めろってことですよ。
      • by Anonymous Coward

        本当に利用者のことを思っているなら脆弱性がなくなる前に公開なんかしないと思うけど。
        以前に裏で指摘したけど全然修正する様子がないというなら仕方ないけど。そうなのかな?

        • by Anonymous Coward on 2012年02月28日 16時59分 (#2107718)

          その手の話はセキュリティ議論で散々なされてるんでそちらを見ればいいと思いますが、簡単に言うと、
          「密かにゼロデイ攻撃(根本対策が無い時点で発生する攻撃)が発生するよりは公知にして広く注意を促した方がマシである」
          と言う事が大方の結論ですね。そのゼロデイ攻撃が、簡単に行え、尚且つ発覚しにくいものであればあるほど尚更。

          セキュリティホールで発覚しても、対策が完了するまで公表されるべきではないと言うのは以下の2点が当てはまる場合です。
          ●現在まだそのセキュリティホールを使用した攻撃がほとんど発生していない。
          ●対策中である。
          なので、対策中であっても大規模な脆弱性を突いた攻撃が行われる場合には公表され、注意を促されます。

          今回の場合はどうかというと

          ●公知の公共サービスである
          ●サービスを利用したことがあれば簡単に気づける程度で発見しやすい
          ●ゼロデイ攻撃が発生していても攻撃を仕掛けられている方が気づきにくい。
          (今回の場合気づくには、自ら利用登録しようとするか、問い合わせをする必要がある。ちなみにパスワードを忘れたときの手続きも、登録と同じ情報でできるので、自ら利用登録しても防止できない)

          と言う事は当てはまります。まともなセキュリティ専門家ならすでにゼロデイ攻撃が行われていると考えるのが妥当かと思います。
          高木氏は従来の例では、相手が対処を約束した場合には、対処が終了するまで公表を控えています。
          そのことから今回は相手がまともな対処をする事が無いと判断して、公開に踏み切ったのでは無いかと。

          こういった状況で、脆弱性を公開しなければ何か改善するというのは、警察官がいなければ逮捕される人が出ないので犯罪なんか無いんだ、と言う様なもんです。

          親コメント
          • by Anonymous Coward

            なるほど。それなら仕方がないですね。

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...