パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ワームのコードを公開するな」これって正論?」記事へのコメント

  • もちろん、Microsoftがモラルを説くのは、自由です。 でも、所詮モラルですから、従わないのも、自由です。 異なるモラルを持ってる人は単に従わない。それだけです。 また、そのレベルの話であれば、それは尊重される べき意見として素直に受け止められるでしょう。 この延長として、例えば専門的な教育の場で "full disclosure っていうのは cracking tool 作りとは違うんだよ"ということを きっちり教えるカリキュラムをつくるとか、 Microsoftがそういうのに助成金を出すとか、 そういうこともまた、問題ないですね。

    問題はMicrosoftが求めていることは、 そういうレベルの話ではなく、 exploit tool が公開*できない*、 そういう秩序形成をめざした動きだ、ということです。 方法は、法的規制かもしれないし、業界規制 (というか、ISPによる検閲とか)かもしれないし、 また違うかもしれないが、そういう「強制力」が ある方法でなければ、ここでのMicrosoftの主張は 「絵に書いた餅」でしかないわけです。

    このような「規制」のなかで、 技術的な意味においてのfull disclosureと、 exploit codeそのものの公開、これを厳密に区別できるでしょうか? いや、できないでしょう。 もちろん、区別できるケースはあります。 例えばbuffer overflowを起こせることの証明と、 それを利用して任意のプログラムを実行できるコードは 一応違うレベルのものなので、前者だけで十分だ、 とは言えるでしょう。 でも、例えば Nimdaがメールでの感染に利用した セキュリティホールの問題なんて、 技術のfull disclosure とexploit codeの間に ほとんど距離がないですよね。

    ですから、そのような規制が強制力のあるものとして現実化した場合、 「守るのに必要な」セキュリティ情報が 場合によっては出てこなくなる可能性が高いわけです。

    また、問題によっては、 「穴」を「穴」と認識するかどうかとか、 その穴が実はベンダーにとっては意図したことであったりするとか、 そういうベンダーとユーザの利益が一致しない ケースというのも、世の中にはありえるわけです。 「情報を隠す」方向のルール作りが行われると、 このようなケースでベンダー側が過剰に有利になれる、 という問題もあるわけです。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...