アカウント名:
パスワード:
オレサマの決めたルールだ、お前らも従えとMS的発想なのかな。馴れ合い、談合よりマシかもしれないけど、もう少し業界のコンセンサスを得てからの方が良いのでは
>もう少し業界のコンセンサスを得てからの方が良いのでは
なんで?Microsoftには90日前に報告しています。月に1回のWindows Updateが少なくとも1回(2回あるけど1回目は修正とチェックに時間がかかって間に合わないかもしれないので)修正のタイミングがあったのにしませんでした。Microsoftはあまり脅威度が高くないと思っていたかもしれません。それなら公開してMicrosoftの対応を待つのも一つの手です。いい手かどうかは別の話。
互換性の問題でパッチ公開を一か月先延ばしするので公開は控えてくれと要請されていたのにGoogleがオレオレルールに固執して公開したように見えますがね。つい先日も同じようなことがありました。
MSにパッチ報告を無視られてたなら同情の余地はないですが、公開に向けて動いているのにひっくり返すさまはやはりevilだなと思わざるを得ませんね。
全くで。パッチできて公開するからそれまで待てというのを、待たないってのはユーザにとってメリットは何もないと言えるのでGoogle自体がやりたいことでしかなかった。自分ルールに拘泥することの方がユーザメリットに勝ると判断したことになりますから、evilと言わざるを得ない。
互換性テストが終わってないものを「できた」とはいわないでしょ× パッチできて公開するからそれまで待て○ パッチできてないけど、30日後に公開するからまって
MSのパッチ提供っていつもすごく時間がかかるよね。BashやOpenSSLのときはRedhatが2日後に提供したのと比べるとびっくりするほど遅い。
120日って・・・長すぎだろw
で、それがMSの要望どうり1ヶ月公開を伸ばして120日になったらなにか困るの?なんで30日後には直ると言ってるのにわざわざ公開して30日間ハッカーたちが好き放題出来る期間を設けたの?
googleが見つけた脆弱性はほかの悪意あるソフト開発者がすでに見つけ悪用している可能性(ゼロデイ攻撃)があります。脆弱性を見つけたら開発者に連絡し、90日以内に対策が取られなければ情報を公開して回避策を提示するべきだ、というのがgoogleの方針でそのためのProject Zero [blogspot.jp]です。
Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
>Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?googleにそんな義理も義務もありません。強いて言えば「共有メモリに暗号化したデータを置くな」
>対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
>こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。そのうち即日公開してしまったほうが同じ土俵にたてるのでよいという話になりそう.
攻撃側と防衛側を同じ土俵に立てたら、防衛側になる大多数の一般ユーザーは敗北しか無い現実を見ろクラッカー並みの知識のない人間はPC使うなとでも考えてるのなら価値観が時代遅れ
それ以上に脆弱性があることを知らなければ防衛すらできません。そちらの方がよりリスクが高いです。
根本対策がメーカーからのパッチ適用であるとしても、ウイルス対策ソフトウェアもIPSは?使わないの?
攻撃されてるのに某社がなかなか直してくれないので、IPSの会社に言ったら、検知できるパターンを用意してくれたので大変助かったことがありました。なかなかIPSも捨てたものじゃないですよ。そのときの修正は1年後に製品の有償バージョンアップという形で提供されましたけどね。あと、ウイルス対策のメーカだって、ウイルスの解析するときに脆弱性の情報を参考にしますよね。まったく未知の状態だと時間かかるでしょ。脅威にさらされる時間が長くなりますよね?
MSとGoogleというよりは、メーカーはもっとさっさと修正しろよと
脆弱性があることを公開しなければその脆弱性の存在は公知されず攻撃者を増やさずにすみますがね。
是が非でも、多くの人々を危険に陥れてでも90日で公開する合理的な理由はなに?
脆弱性の指摘を無視されたわけでも、修正をサボってるわけでもないのに。脆弱性によって、修正に要するに日数は全然違うよね。テストをはしょられていい加減なパッチを公開されて、被害がでたらどうするの。
個別対応はしない、ってだけの話でしょうね。
柔軟性に欠けるという非難なら分かるが、90日の根拠がない、横暴ってのは見当違い過ぎるかと。
MS的発想というよりGoogle的発想と言うべきじゃなかろうか。いつから逆転したかわからんけど、今はMSよりGoogleの方がずっと俺様だと感じるわ。
パッチの公開を月毎にしてるのはMSのローカルルールじゃないの?お互いのローカルルールが衝突してるだけでしょ。
MSが月例にしているのはちゃんと理由があるし、緊急なら定例外で配布される。対してgoogleの90日になんの根拠があるのかと。
月例に根拠があるの?本来なら可及的速やかに公開して適用してもらうべきものじゃないの?
歴史的経緯とかはぜんぜん根拠にはなりませんよパッチひとつひとつダウンロードして適用してた時代じゃあるまいし
月例パッチは企業の情シス担当向けの施策。いつパッチが公開されるか分からない状態だと、リリースされたパッチに即座に対応できない。一般社員にPCの管理権限与えてるような会社は別ね。定期的にパッチ導入の準備をさせることでパッチの適用率を上げようという理由で月例になってる。
> 定期的にパッチ導入の準備をさせることでパッチの適用率を上げようという理由で月例になってる。これって昔の話だと思うんだよね。いまやどこの会社も適用する仕組みになっているでしょ少なくとも昔みたいに適用に反対するような勢力はほとんどいない(はず)
公開と適用を一緒に考えるからそうなってしまうわけで本来公開さえされていれば、適用は各社好きなタイミングでやればいいだけ特に公開サーバとか、実際に攻撃受けてる時とかは、本当に今すぐ当てたいのに!と思うこともあるよね?実際
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
90日ルールを一般化したいのかな (スコア:0)
オレサマの決めたルールだ、お前らも従えとMS的発想なのかな。馴れ合い、談合よりマシかもしれないけど、もう少し業界のコンセンサスを得てからの方が良いのでは
Re: (スコア:0)
>もう少し業界のコンセンサスを得てからの方が良いのでは
なんで?
Microsoftには90日前に報告しています。月に1回のWindows Updateが少なくとも1回(2回あるけど1回目は修正とチェックに時間がかかって間に合わないかもしれないので)
修正のタイミングがあったのにしませんでした。Microsoftはあまり脅威度が高くないと思っていたかもしれません。
それなら公開してMicrosoftの対応を待つのも一つの手です。いい手かどうかは別の話。
Re: (スコア:0)
互換性の問題でパッチ公開を一か月先延ばしするので公開は控えてくれと要請されていたのに
Googleがオレオレルールに固執して公開したように見えますがね。
つい先日も同じようなことがありました。
MSにパッチ報告を無視られてたなら同情の余地はないですが、
公開に向けて動いているのにひっくり返すさまはやはりevilだなと思わざるを得ませんね。
Re: (スコア:0)
全くで。パッチできて公開するからそれまで待てというのを、待たないってのは
ユーザにとってメリットは何もないと言えるのでGoogle自体がやりたいことでしかなかった。
自分ルールに拘泥することの方がユーザメリットに勝ると判断したことになりますから、evilと言わざるを得ない。
Re: (スコア:0)
互換性テストが終わってないものを「できた」とはいわないでしょ
× パッチできて公開するからそれまで待て
○ パッチできてないけど、30日後に公開するからまって
MSのパッチ提供っていつもすごく時間がかかるよね。
BashやOpenSSLのときはRedhatが2日後に提供したのと比べるとびっくりするほど遅い。
120日って・・・長すぎだろw
Re: (スコア:0)
で、それがMSの要望どうり1ヶ月公開を伸ばして120日になったらなにか困るの?
なんで30日後には直ると言ってるのにわざわざ公開して30日間ハッカーたちが好き放題出来る期間を設けたの?
Re: (スコア:0)
googleが見つけた脆弱性はほかの悪意あるソフト開発者がすでに見つけ悪用している可能性(ゼロデイ攻撃)があります。脆弱性を見つけたら開発者に連絡し、90日以内に対策が取られなければ情報を公開して回避策を提示するべきだ、というのがgoogleの方針でそのためのProject Zero [blogspot.jp]です。
Re:90日ルールを一般化したいのかな (スコア:1)
Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?
対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re: (スコア:0)
>Googleが勝手に他者の脆弱性を公開するなら同時に回避策も提示するべきじゃね?
googleにそんな義理も義務もありません。強いて言えば「共有メモリに暗号化したデータを置くな」
>対策とれるまでまってといわれても待たないで回避策のない大多数のユーザーを危険にさらすのは何のため?
こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
Re: (スコア:0)
>こういう脆弱性がありますよ、とみんなに周知するため。情報が公開されたことにより、攻撃側と防衛側が同じ土俵に立てます。
そのうち即日公開してしまったほうが同じ土俵にたてるのでよいという話になりそう.
Re: (スコア:0)
攻撃側と防衛側を同じ土俵に立てたら、防衛側になる大多数の一般ユーザーは敗北しか無い現実を見ろ
クラッカー並みの知識のない人間はPC使うなとでも考えてるのなら価値観が時代遅れ
Re: (スコア:0)
それ以上に脆弱性があることを知らなければ防衛すらできません。そちらの方がよりリスクが高いです。
Re: (スコア:0)
根本対策がメーカーからのパッチ適用であるとしても、
ウイルス対策ソフトウェアもIPSは?
使わないの?
攻撃されてるのに某社がなかなか直してくれないので、IPSの会社に言ったら、検知できるパターンを用意してくれたので大変助かったことがありました。なかなかIPSも捨てたものじゃないですよ。そのときの修正は1年後に製品の有償バージョンアップという形で提供されましたけどね。
あと、ウイルス対策のメーカだって、ウイルスの解析するときに脆弱性の情報を参考にしますよね。まったく未知の状態だと時間かかるでしょ。脅威にさらされる時間が長くなりますよね?
MSとGoogleというよりは、メーカーはもっとさっさと修正しろよと
Re: (スコア:0)
脆弱性があることを公開しなければその脆弱性の存在は公知されず攻撃者を増やさずにすみますがね。
Re: (スコア:0)
是が非でも、多くの人々を危険に陥れてでも90日で公開する合理的な理由はなに?
脆弱性の指摘を無視されたわけでも、修正をサボってるわけでもないのに。
脆弱性によって、修正に要するに日数は全然違うよね。
テストをはしょられていい加減なパッチを公開されて、被害がでたらどうするの。
Re: (スコア:0)
個別対応はしない、ってだけの話でしょうね。
柔軟性に欠けるという非難なら分かるが、
90日の根拠がない、横暴ってのは見当違い過ぎるかと。
Re: (スコア:0)
MS的発想というよりGoogle的発想と言うべきじゃなかろうか。
いつから逆転したかわからんけど、今はMSよりGoogleの方がずっと俺様だと感じるわ。
Re: (スコア:0)
パッチの公開を月毎にしてるのはMSのローカルルールじゃないの?
お互いのローカルルールが衝突してるだけでしょ。
Re: (スコア:0)
MSが月例にしているのはちゃんと理由があるし、緊急なら定例外で配布される。
対してgoogleの90日になんの根拠があるのかと。
Re: (スコア:0)
月例に根拠があるの?
本来なら可及的速やかに公開して適用してもらうべきものじゃないの?
歴史的経緯とかはぜんぜん根拠にはなりませんよ
パッチひとつひとつダウンロードして適用してた時代じゃあるまいし
Re: (スコア:0)
月例パッチは企業の情シス担当向けの施策。
いつパッチが公開されるか分からない状態だと、リリースされたパッチに即座に対応できない。
一般社員にPCの管理権限与えてるような会社は別ね。
定期的にパッチ導入の準備をさせることでパッチの適用率を上げようという理由で月例になってる。
Re: (スコア:0)
> 定期的にパッチ導入の準備をさせることでパッチの適用率を上げようという理由で月例になってる。
これって昔の話だと思うんだよね。
いまやどこの会社も適用する仕組みになっているでしょ
少なくとも昔みたいに適用に反対するような勢力はほとんどいない(はず)
公開と適用を一緒に考えるからそうなってしまうわけで
本来公開さえされていれば、適用は各社好きなタイミングでやればいいだけ
特に公開サーバとか、実際に攻撃受けてる時とかは、本当に今すぐ当てたいのに!と思うこともあるよね?実際