パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ワームのコードを公開するな」これって正論?」記事へのコメント

  • by k3c (4386) on 2001年10月20日 1時33分 (#30958) ホームページ 日記
    「誰もが問題点を再現検証できるようにして、その製品の使用中止を勧告する」
    がもっとも有効な対策だと思いますがいかがですか?
    …うーむ、そうですか?
    使用中止を勧告されても使用中止できない人はどうなりますか?「OSに穴があるからそのOSを使わないように」と勧告されても、とっさに他のOSを使える人はいいですがそうじゃない人はexploitコードの公開によってPCを使えなくなってしまいますよね。それにそのOSのユーザー全員がその勧告を速やかに知ることができる環境にいられるわけではないですよね。
    exploitコードを公開しておいて、それを流用したクラックが発生した場合に被害者に対して「我々の勧告に従わなかったからだ」と言うのは、ピッキングの方法を公開して鍵の交換を促し、鍵を交換せずに泥棒の被害を受けた人に「鍵を交換しなかったからだ」と言うのと同じくらい横暴だと思うのですが。それともピッキング被害に遭うような鍵を作った業者が悪いのでしょうか?
    # 乱暴な喩えだというツッコミは却下。どっちも個人の財産権がかかっているという点では同じです。

    高木浩光氏他の論文、クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策のように、脆弱性とそれによってもたらされる危険を明らかにし、開発者とユーザーの両方を啓蒙するやり方はあるはずです。脆弱性とそれを突くコードだけを公開してあとは(情報収集のコストも含めて)ベンダーの信用問題とユーザーの自己責任に転嫁するという姿勢は、いちユーザーのワタシとしては身勝手に感じられてなりません。

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

処理中...