アカウント名:
パスワード:
名前から推測できるようなモノなのかなぁ…なんでわざわざ名前まで公表したんだろう
悪用する人は、名前でどうこうじゃなく内容をちゃんと見るだろうし、それ以上に悪者(すでになにかやってる)だと、これ以外にもいろいろ未知の不具合を突いてくるでしょう...
# ので、名前くらいだとあんま意味ない気がする
仮に家族を人質に取られて、このバグを見つけろと言われたら、どうするかって話だよ
警察に行けばいいんじゃないかな
そーゆー意味じゃないw
下手糞なたとえ話って、本題が仮定に乗っ取られるんですよね。
たとえ話って"正攻法じゃどう説明しても理解できない"人に理解させるための最終手段だしちゃんと説明すれば理解できる人に最初からたとえ話をしたら矛盾を突かれて破綻するよね
たとえ話なんてべつに最終手段ってこともないでしょう。よく似た構図を思いついたから置き換えて話す、それだけです。思いつかないものを無理にひねってこじつけるから余計にこじれるんです。
「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」をことさら強調せんがために「脆弱性を暴かないと大変な目に遭う」とかいうおかしなシチュエーションを盛るから話がおかしくなる。
「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」しか思い浮かばないような振り方をしたのに、手段の検討を頭からしない人が見当違いのレスを付けたから、有無を言わせず強制的に手段の検討を始めないといけない簡単なシチュエーションを与えただけだよ。
ただどうでもいいところを必死で考える人が多くて閉口したw
動機の能動性を強調したくて変な受動性を追加してる時点で、たとえ話として破綻してるっていう指摘だろ
すべった喩えのセルフフォローは痛々しい
病院に行ったほうが
なるべく多くの人に関心を持ってもらうため、でしょうね。
ロゴはパブリックドメイン(CC0)らしいので、これも、老若男女に注意喚起してくれって意図でしょうし。http://badlock.org/badlock.svg [badlock.org]
だから、sambaのことは全然知らなくても、周りに、「おい、あれどうなってる?」って声かけするレベルの事案で、そうじゃないと、アップデート後に(コンマ数パーセントが乗り遅れて)阿鼻叫喚の世界になる可能性があるってことじゃないですかね。
We are grateful to the Heartbleed team [heartbleed.com] to use their template.
Heartbleedに倣ったということでしょう。こちらもCC0でロゴが公開されています。 http://heartbleed.com/heartbleed.svg [heartbleed.com]
でもそのために名前を入れる必要があったかってことだよ
弁別性のためにはやっぱ必要だったんじゃないかな。"lock"がおそらく排他制御ファイルを指してるのがダメっていう指摘なんだろうけど、もう、そこら辺は誤解するよりいいってことでしょ。先々のことを考えると、重大なバグには実態に即したわかりやすい名前をつけて宣伝するしかない。
SMB2のLock、悪い人が悪いこと考えて悪い手順でごにょごにょすると任意のコード実行できてしまうようです。プロトコル自体の仕様バグではないのですがWindows、Sambaどちらの実装でも有効に機能してしまう攻撃とのこと。
https://git.samba.org/?p=samba.git;a=blob_plain;f=source4/libcli/smb2/... [samba.org]
あうあうあうあーどうしてこうなった
クライアントコードでもダメ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
これって… (スコア:0)
名前から推測できるようなモノなのかなぁ…
なんでわざわざ名前まで公表したんだろう
Re:これって… (スコア:1)
悪用する人は、名前でどうこうじゃなく内容をちゃんと見るだろうし、それ以上に悪者(すでになにかやってる)だと、これ以外にもいろいろ未知の不具合を突いてくるでしょう...
# ので、名前くらいだとあんま意味ない気がする
M-FalconSky (暑いか寒い)
Re:これって… (スコア:1)
Re:これって… (スコア:1)
仮に家族を人質に取られて、このバグを見つけろと言われたら、どうするかって話だよ
警察に行けばいいんじゃないかな
Re: (スコア:0)
そーゆー意味じゃないw
Re: (スコア:0)
下手糞なたとえ話って、本題が仮定に乗っ取られるんですよね。
Re: (スコア:0)
たとえ話って"正攻法じゃどう説明しても理解できない"人に理解させるための最終手段だし
ちゃんと説明すれば理解できる人に最初からたとえ話をしたら矛盾を突かれて破綻するよね
Re: (スコア:0)
たとえ話なんてべつに最終手段ってこともないでしょう。
よく似た構図を思いついたから置き換えて話す、それだけです。
思いつかないものを無理にひねってこじつけるから余計にこじれるんです。
「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」
をことさら強調せんがために
「脆弱性を暴かないと大変な目に遭う」
とかいうおかしなシチュエーションを盛るから話がおかしくなる。
Re: (スコア:0)
「名前から脆弱性を推測できる可能性、さらには攻撃者を誘引する可能性」
しか思い浮かばないような振り方をしたのに、手段の検討を頭からしない人が見当違いのレスを付けたから、
有無を言わせず強制的に手段の検討を始めないといけない簡単なシチュエーションを与えただけだよ。
ただどうでもいいところを必死で考える人が多くて閉口したw
Re: (スコア:0)
動機の能動性を強調したくて変な受動性を追加してる時点で、たとえ話として破綻してるっていう指摘だろ
すべった喩えのセルフフォローは痛々しい
Re: (スコア:0)
病院に行ったほうが
Re:これって… (スコア:1)
なるべく多くの人に関心を持ってもらうため、でしょうね。
ロゴはパブリックドメイン(CC0)らしいので、これも、老若男女に注意喚起してくれって意図でしょうし。
http://badlock.org/badlock.svg [badlock.org]
だから、sambaのことは全然知らなくても、周りに、「おい、あれどうなってる?」って声かけするレベルの事案で、そうじゃないと、アップデート後に(コンマ数パーセントが乗り遅れて)阿鼻叫喚の世界になる可能性があるってことじゃないですかね。
Re:これって… (スコア:1)
We are grateful to the Heartbleed team [heartbleed.com] to use their template.
Heartbleedに倣ったということでしょう。こちらもCC0でロゴが公開されています。
http://heartbleed.com/heartbleed.svg [heartbleed.com]
Re: (スコア:0)
でもそのために名前を入れる必要があったかってことだよ
Re: (スコア:0)
弁別性のためにはやっぱ必要だったんじゃないかな。"lock"がおそらく排他制御ファイルを指してるのがダメっていう指摘なんだろうけど、もう、そこら辺は誤解するよりいいってことでしょ。先々のことを考えると、重大なバグには実態に即したわかりやすい名前をつけて宣伝するしかない。
Re: (スコア:0)
SMB2のLock、悪い人が悪いこと考えて悪い手順でごにょごにょすると任意のコード実行できてしまうようです。
プロトコル自体の仕様バグではないのですがWindows、Sambaどちらの実装でも有効に機能してしまう攻撃とのこと。
https://git.samba.org/?p=samba.git;a=blob_plain;f=source4/libcli/smb2/... [samba.org]
Re: (スコア:0)
あうあうあうあー
どうしてこうなった
クライアントコードでもダメ