パスワードを忘れた? アカウント作成

MicrosoftのJETデータベースエンジンにゼロデイ脆弱性」記事へのコメント

  • いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。

    • by Anonymous Coward

      脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。
      脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。

      • by Anonymous Coward

        閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。

        脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。

        • by Anonymous Coward

          少し公開を延期するシステムは必要だと思うんだよね。

          「少し」の定義を教えてください。120日待ってるけどまだ足りない?
          ユーザー保護を優先させるなら絶対間に合いますよね。
          修正の優先度がおかしかったとしか思えない。

          • by Anonymous Coward

            いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。
            影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……

            # ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし

            • by Anonymous Coward

              いくら膨大なOSに絡むような物でも
              「本気」で取り組めば120日もかかるはずはないよ。
              MSはその辺の中小企業じゃないんだから。
              潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
              ようは、そう使ってないってだけのこと。
              つまりはその程度の脆弱性って事。
              本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。
              それこそ互換性なんて気にせずにな。

              • by Anonymous Coward

                人月の神話とか読んだ方が良いのではないでしょうか
                人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型

              • ちょうど、「人月の神話 新装版 狼人間を撃つ銀の弾はない」を読んだとこだけど「タールの沼」「セカンドシステム症候群」「銀の弾などない」の方が付ける薬としては適当でしょうね。
                その「優秀な技術者」を持ってして出来上がったのが、この様でございますなんですよね。(涙)

                今風なタイトルにすると
                「システム開発の過酷さ現実に咽び泣く優秀な技術者」
                「プロジェクト成功で鼻高々な技術者、次期プロジェクトに夢と機能を詰め込み過ぎて息絶える」
                「万能ツール・フレームワーク・言語を求めて騙され続ける優秀な技術者、いつになったら広告詐欺に気づく?」

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...