アカウント名:
パスワード:
悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?
いや、ゼロデイ公開したProject Zeroを責めるのは違う。だってルールを破ったのはM$の方でしょ?M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。
まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。だからルール通りに公表した。全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。
> だってルールを破ったのはM$の方でしょ?いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。
確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程でMicrosoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの結局間に合わないということで公開された流れのように読めました。Issue へのコメント参照。
うん、そうなんだけど、それで「ルールを破った」という日本語は適切なのか?というのが #3949712 の意見なわけだ。
なるほど。そこは訂正します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
1/12まで待てなかったのかよ (スコア:0)
悪用が確認されているのに回避策なしでゼロデイ公開されても困るんだがー?
Re: (スコア:0, オフトピック)
いや、ゼロデイ公開したProject Zeroを責めるのは違う。
だってルールを破ったのはM$の方でしょ?
M$はそのルールに合意し、期限が来ればゼロデイ公開されると分かってたのに、猶予期間与えてもパッチを公表できなかったのだから。
まぁ正直言えば、Project Zero側もこの脆弱性を実行して悪用できる状況はかなり少ないと見越しているんだと思う。
だからルール通りに公表した。
全世界的にどんな状況でもホントにヤバい脆弱性となればさすがにProject ZeroもM$もルールだなんだ言ってられないよ。
Re: (スコア:3, すばらしい洞察)
> だってルールを破ったのはM$の方でしょ?
いや、90日ルールはGoogle側の社内ポリシーであって相手側(今回はMS)が従う義理はない。
「90日経っても直らない場合はGoogleの判断で脆弱性公開するからな」って一方的に通知するだけ。
MS側は12月中に修正できる見込みを伝えただけで、約束したわけではない。
なので、そもそも同意してないルールを破ったなどと言われる筋合いはない。
Re: (スコア:0)
確かにルールを決めたのは Project Zero ですが、脆弱性情報を知らせて交渉する過程で
Microsoft 側も期限があることを認識しており、期限を少しだけ延長する提案を持ちかけられたものの
結局間に合わないということで公開された流れのように読めました。
Issue へのコメント参照。
Re:1/12まで待てなかったのかよ (スコア:1)
うん、そうなんだけど、
それで「ルールを破った」という日本語は適切なのか?というのが #3949712 の意見なわけだ。
Re:1/12まで待てなかったのかよ (スコア:2)
なるほど。
そこは訂正します。