アカウント名:
パスワード:
「避けられるはずの脆弱性」ってのが、きちんと定義できれば、おっしゃることもごもっともなんだけどね。
食中毒は、「避けらるか否かではなく、出してはいけない」だから、ソフトウェアも「脆弱性の恐れがあったら、出すのが変」が共通理解になれば成り立つだろうけど、そうなる前に「少々危なくても安く買う」派が台頭するから、今があるんだけどね。
食中毒に例えるなら、未知の対処法が不明な食中毒菌で症状が出た場合どうするかですね。従来の食中毒に対する対策が十分なら責任は問われないけど、そうでなかったら未知かどうかは関係ない。
要するに「脆弱性」についても対処すべき項目として仕様になければならない。仕様にない問題は、品質の問題でないなら製造物責任になり得ない。こんなんでどうでしょ。
> 要するに「脆弱性」についても対処すべき項目として仕様になければならない。> 仕様にない問題は、品質の問題でないなら製造物責任になり得ない。
ハンバーガー程度なら工程が単純だから、守るべきガイドラインを決めるのはそれほど難しくないですが、ガイドラインがないから知りませんというのもどうかと。ガイドラインを決めるのも業界の役目だと思います。業界が自主的にガイドラインを決めることは、業界の健全な発展のために必要なことです。業界に対する社会の信用を上げたり、技術力のない業者や悪徳業者が入って来にくくしたり。というか、実情に合わせた実効的なガイドラインを作るのは、部外者には無理だし。
いきなり一般論を持ち出して「ソフトウェアは複雑だし、新しい攻撃方法が次々と見つかるからガイドラインなんて無理」と全否定するんじゃなくて、じゃあどの範囲までならガイドラインが作れるかを考えた方がいいんじゃないでしょうか。
> 食中毒は、「避けらるか否かではなく、出してはいけない」だから、
はい。悪意の攻撃を防げないという話と、自分自身が害を為すという話は別だと思います。
ただ、ソフトウェアの不具合は、脆弱性(攻撃を防げない)だけではなく、自分自身が害を為す場合だってありえます。
それを、ソフトウェアの不具合を脆弱性だけに限ってしまうと、MSの言い分をそのまま真に受けてしまうことになると思います。
自分自身が害をなすって、すなわちマルウェアだから、この議論の結論を待つまでもなく訴えることのできる問題だと思うよ。
故意かどうかってのはまた別なんでは?デフラグツールがバグによってHDDの内容を消去してしまうケースとか?
食中毒と脆弱性を並べちゃうから謎パーになるんですよ。食堂で出された食事に他の客が毒を仕込むかどうかと脆弱性に対する攻撃ってのならわからんでもない。
根源的な悪意の発生箇所(食中毒は作り手の衛生管理の問題だけどさ)が違うのにトピックでは一緒くたじゃ困るよね。
たとえ話は置いておくとしても、ソフトウェアについては、原因、責任の特定の困難さと、被害がおおよそ金ばかりで、車のリコールや食中毒のように人体に影響があまりないってのが話題だけで終わる原因かな。
開発者の方にばかり人体に影響がありますけどね。
それじゃあ開発者の健康被害に対して、会社が補償するようにしたらいいんじゃね?
たとえば車だと人命に関わるような部分にソフトウェアが積まれていますが、そういうところは、きちんと責任を取るということで、いいのですよね?
当然、リコール対象でしょう。それって。
それはクルマという単位で、法制度でちゃんとカバーされてる話では。ソフトウェア単体じゃ動かないんだから、商品として高リスクなもの(医療器具とか発電所とか)は商品として考えるべきだと思うし、ソフトウェア全体に適用できる制度なんて思いつかないなぁ。
電子カルテですら大変ですが。
いわゆるコンシューマソフトウェアだけじゃねえか。いま。
全ての事態を想定できるほどソフトウェアは成熟してないって事じゃないかなぁ食物に例えるなら、未知の食材と謎の調理法だらけで、まだまだ原始的な料理って感じ
成熟したからというか複雑化したから困難なんですよ。ハードだって大変ですよ。
>食中毒は、「避けらるか否かではなく、出してはいけない」だから、
これは日本人の勝手な考えでは?
饑餓寸前の地域でそれがまかり通るなんてことは聞いたことがないです。
世界人口の数分の一の主張を、全人類共通のように語られても・・・・と、思いますが
飢餓寸前の地域で腐ったものを見えないようにして、普通の値段で売りつけたら、それこそ現地のギャングに締められそう。
飢餓状態の地域では、残念ながら、赤痢を含め食中毒系の感染症が、極普通に発生しているかと思いますが。
で、結局、この話の流れで最終的に何を主張したいんですか?
食中毒を出してはいけないという考え方は改めて、食中毒を許容する考え方を採用すべきであり、だから、それと同様、プログラムのバグも許容されるべきということですか?想像で書いてるので間違ってるかも知れませんが。
食中毒は、「避けらるか否かではなく、出してはいけない」を基準にしないでくれよ。生ものは当たりやすいなんて承知で食ってるんだから。
場合によってはCPUへのx86アーキテクチャの実装バグ(エラッタ)で起きてしまうような極々希な現象によって引き起こされる様な脆弱性はどうするんでしょう?この場合ソフトウェアが悪い?CPUが悪い?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
線引き (スコア:1)
「避けられるはずの脆弱性」ってのが、きちんと定義できれば、おっしゃることもごもっともなんだけどね。
食中毒は、「避けらるか否かではなく、出してはいけない」だから、
ソフトウェアも「脆弱性の恐れがあったら、出すのが変」が共通理解になれば成り立つだろうけど、
そうなる前に「少々危なくても安く買う」派が台頭するから、今があるんだけどね。
Re:線引き (スコア:1)
食中毒に例えるなら、
未知の対処法が不明な食中毒菌で症状が出た場合どうするかですね。
従来の食中毒に対する対策が十分なら責任は問われないけど、そうでなかったら未知かどうかは関係ない。
要するに「脆弱性」についても対処すべき項目として仕様になければならない。
仕様にない問題は、品質の問題でないなら製造物責任になり得ない。
こんなんでどうでしょ。
Re: (スコア:0)
> 要するに「脆弱性」についても対処すべき項目として仕様になければならない。
> 仕様にない問題は、品質の問題でないなら製造物責任になり得ない。
ハンバーガー程度なら工程が単純だから、守るべきガイドラインを決めるのはそれほど難しくないですが、
ガイドラインがないから知りませんというのもどうかと。
ガイドラインを決めるのも業界の役目だと思います。
業界が自主的にガイドラインを決めることは、業界の健全な発展のために必要なことです。
業界に対する社会の信用を上げたり、技術力のない業者や悪徳業者が入って来にくくしたり。
というか、実情に合わせた実効的なガイドラインを作るのは、部外者には無理だし。
いきなり一般論を持ち出して「ソフトウェアは複雑だし、新しい攻撃方法が次々と見つかるから
ガイドラインなんて無理」と全否定するんじゃなくて、じゃあどの範囲までならガイドラインが
作れるかを考えた方がいいんじゃないでしょうか。
Re: (スコア:0)
> 食中毒は、「避けらるか否かではなく、出してはいけない」だから、
はい。悪意の攻撃を防げないという話と、自分自身が害を為すという話は別だと思います。
ただ、ソフトウェアの不具合は、脆弱性(攻撃を防げない)だけではなく、自分自身が害を為す
場合だってありえます。
それを、ソフトウェアの不具合を脆弱性だけに限ってしまうと、MSの言い分をそのまま真に受けて
しまうことになると思います。
Re: (スコア:0)
自分自身が害をなすって、すなわちマルウェアだから、
この議論の結論を待つまでもなく訴えることのできる問題だと思うよ。
Re: (スコア:0)
故意かどうかってのはまた別なんでは?
デフラグツールがバグによってHDDの内容を消去してしまうケースとか?
Re: (スコア:0)
食中毒と脆弱性を並べちゃうから謎パーになるんですよ。
食堂で出された食事に他の客が毒を仕込むかどうかと脆弱性に対する攻撃ってのならわからんでもない。
根源的な悪意の発生箇所(食中毒は作り手の衛生管理の問題だけどさ)が違うのにトピックでは一緒くたじゃ困るよね。
Re:線引き (スコア:1)
たとえ話は置いておくとしても、
ソフトウェアについては、原因、責任の特定の困難さと、
被害がおおよそ金ばかりで、車のリコールや食中毒のように人体に影響があまりない
ってのが話題だけで終わる原因かな。
Re: (スコア:0)
開発者の方にばかり人体に影響がありますけどね。
Re:線引き (スコア:1)
それじゃあ開発者の健康被害に対して、会社が補償するようにしたらいいんじゃね?
Re: (スコア:0)
たとえば車だと人命に関わるような部分にソフトウェアが積まれていますが、
そういうところは、きちんと責任を取るということで、いいのですよね?
Re: (スコア:0)
当然、リコール対象でしょう。それって。
Re: (スコア:0)
それはクルマという単位で、法制度でちゃんとカバーされてる話では。
ソフトウェア単体じゃ動かないんだから、商品として高リスクなもの(医療器具とか発電所とか)は商品として考えるべきだと思うし、ソフトウェア全体に適用できる制度なんて思いつかないなぁ。
Re: (スコア:0)
電子カルテですら大変ですが。
Re: (スコア:0)
いわゆるコンシューマソフトウェアだけじゃねえか。いま。
Re: (スコア:0)
全ての事態を想定できるほどソフトウェアは成熟してないって事じゃないかなぁ
食物に例えるなら、未知の食材と謎の調理法だらけで、まだまだ原始的な料理って感じ
Re: (スコア:0)
成熟したからというか
複雑化したから困難なんですよ。
ハードだって大変ですよ。
Re: (スコア:0)
>食中毒は、「避けらるか否かではなく、出してはいけない」だから、
これは日本人の勝手な考えでは?
饑餓寸前の地域でそれがまかり通るなんてことは聞いたことがないです。
世界人口の数分の一の主張を、全人類共通のように語られても・・・・
と、思いますが
Re: (スコア:0)
飢餓寸前の地域で腐ったものを見えないようにして、普通の値段で売りつけたら、それこそ現地のギャングに締められそう。
Re: (スコア:0)
世界の大部分で当たり前かと思いますが。
飢餓状態の地域で食中毒がおこればその地域は壊滅しちゃうでしょ。
Re: (スコア:0)
飢餓状態の地域では、残念ながら、赤痢を含め食中毒系の感染症が、極普通に発生しているかと思いますが。
Re: (スコア:0)
で、結局、この話の流れで最終的に何を主張したいんですか?
食中毒を出してはいけないという考え方は改めて、
食中毒を許容する考え方を採用すべきであり、
だから、それと同様、プログラムのバグも許容されるべき
ということですか?想像で書いてるので間違ってるかも知れませんが。
ゆっけ〜 (スコア:0)
食中毒は、「避けらるか否かではなく、出してはいけない」を基準にしないでくれよ。
生ものは当たりやすいなんて承知で食ってるんだから。
Re: (スコア:0)
場合によってはCPUへのx86アーキテクチャの実装バグ(エラッタ)で起きてしまうような
極々希な現象によって引き起こされる様な脆弱性はどうするんでしょう?
この場合ソフトウェアが悪い?CPUが悪い?