パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft、Google Chromeのパッチ提供方針を批判」記事へのコメント

  • by Anonymous Coward on 2017年10月22日 14時39分 (#3299838)

    Windows Security Blogの該当ポスト [microsoft.com]を読め。

    ブラウザ10画面以上にわたる長文記事の大半は技術的な解説で、Googleの対応を批判しているのは最後から2つ目の2段落のみ。
    Googleが報告からわずか4日後に修正してきたことや、Microsoftに7,500ドルの報奨金を支払ったことも紹介しているし、
    最終段落では、「考え方は違うが、我々はユーザーを守るために協力できると確信している」とも述べている。
    わざわざここだけ取り上げるメディアもいただけない。

    批判の内容としてはGithubへの公開が早すぎるというもので、例えば、バグトラッカーでは非公開扱いされている
    security issueの修正が、Githubにテストコード付きで公開されているようなケースがあるとのこと。
    これは攻撃者に脆弱性を攻撃する時間的余裕を与えてしまう。

    Chromeの場合はChromiumとの関係があるから少し難しいが、
    一般論としては議論の余地もないような当然の話で、著名なソフトウェアでは、
    セキュリティフィックスは別のブランチで管理して、製品リリースと同時に公開すべきだ。
    例えばWPA2の脆弱性の時も、Linuxは脆弱性公開までfixを非公開にしていた。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...