アカウント名:
パスワード:
バグと脆弱性は別の物ですので, 分けて考えた方が良いでしょう. それではバグじゃない脆弱性って何かと言ったら, 良く聞くでしょう「仕様です」って.
有名な例はWEPですね. 一応, 仕様通りに暗号化されていますが, それが脆弱なため容易に破られてしまいます. まあ, これなんかは仕様バグと言ってもよいかもしれませんが. 他にも昔のNISの様にネットワーク上に暗号化したパスワードを流しちゃう, 今から見れば噴飯物の仕様もありますが, これもローカルの限られた範囲でのみ使うというのであれば大丈夫という判断もできます.
またWEPもそうですが, 暗号などでは定量的に安全性を評価することが必要です. 例えば64bit RC5が今日では既に脆弱であることが示されていますが, これも暗号化の為のbit長が短すぎるだけで原理的には問題は無いです.
もちろんバグによる脆弱性も多いのですが, 使用目的・環境がプログラムの想定していた物と異なるが故に脆弱性となってしまうことも多くあります(今回の指摘も若干その気が有るみたいです). ですから脆弱性が発見されたといっても単に騒ぐのではなく, それが自分のシステムに対してどのような影響を与えるのかを評価することが各自に要求されます.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
脆弱性 (スコア:0, 余計なもの)
バグじゃない脆弱性 (スコア:1)
バグと脆弱性は別の物ですので, 分けて考えた方が良いでしょう. それではバグじゃない脆弱性って何かと言ったら, 良く聞くでしょう「仕様です」って.
有名な例はWEPですね. 一応, 仕様通りに暗号化されていますが, それが脆弱なため容易に破られてしまいます. まあ, これなんかは仕様バグと言ってもよいかもしれませんが. 他にも昔のNISの様にネットワーク上に暗号化したパスワードを流しちゃう, 今から見れば噴飯物の仕様もありますが, これもローカルの限られた範囲でのみ使うというのであれば大丈夫という判断もできます.
またWEPもそうですが, 暗号などでは定量的に安全性を評価することが必要です. 例えば64bit RC5が今日では既に脆弱であることが示されていますが, これも暗号化の為のbit長が短すぎるだけで原理的には問題は無いです.
もちろんバグによる脆弱性も多いのですが, 使用目的・環境がプログラムの想定していた物と異なるが故に脆弱性となってしまうことも多くあります(今回の指摘も若干その気が有るみたいです). ですから脆弱性が発見されたといっても単に騒ぐのではなく, それが自分のシステムに対してどのような影響を与えるのかを評価することが各自に要求されます.
Re:バグじゃない脆弱性 (スコア:1)
「脆弱性」という日本語は、いかにも翻訳調で不自然だと思うので、ぼくはたいてい「弱点」という言葉を使います。
もちろん100%言い換え可能というわけではありませんが。
鵜呑みにしてみる?