パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEにつづきOperaにもCookie漏洩の穴」記事へのコメント

  • by Anonymous Coward
    > オープンソースでの開発によるならばこのような問題も発生しにくいと聞きますが、Mozilla などはどうなんでしょうか?"

    発生し難い点はあるだろうけど、オープンソースもっとも良い点は、発生しても直ぐにパッチが作りやすい点の方ではないでしょうか?

    • by Anonymous Coward
      Mozillaは nightly buildとして自動的に毎日ビルドして
      公開されているので、

       1)そういった問題があることを誰かが発見し
       2)それw mozilla.orgへ誰かが報告し
       3)誰かが対策のためのコードを書き
       4)十分にテストされ
       5)該当する部分のモジュールオーナがコードを
        取り込む事を判断し
       6)レビュワー達が認めれば

      CVSツリーにそのコードは取り込まれ、自然に
      翌日には対策済みのビルドが公開されます。
      (もしかしたらレビューフローがまた変わっているかも)

      ただ、現在の最新 mile
      • by Anonymous Coward
        一番の問題は、3)項の誰がコードを書くかだろうね。

        書く技術はさておき、対象が特定モジュールだけに
        閉じている修正ならば取り込みにかかわるフローも
        割とスムースに行くだろうけど、広い範囲に影響する
        場合は比較的時間がかかる可能性はあるかも。

        とはいえ、修
        • by Anonymous Coward on 2001年11月21日 13時14分 (#40222)
          #自己コメント

          修正レポートやパッチ自体は Bugzillaにあがるだろう
          けど、それはすぐに公表されるのかなと思って調べたら
          "Handling Mozilla Security Bugs" という文書が
          見つかった。

          http://www.mozilla.org/projects/security/security-bugs-policy.html

          長い英文でよく分からん (^^; ので各自で見て欲しい。
          (んで、わしの解釈に間違いがあったら指摘してほしい)

          どうやらmozilla.orgにはセキュリティに注力する
          チームがあって、Bugzillaへ報告されたセキュリティ
          問題のレポートは最初のうちはそのチームと報告者のみが
          参照できるようになっているらしい。(つまりは
          隠される。)

          ただし、その隠蔽期間は特に定めてないが、意味もなく
          長期間隠蔽する事はさすがに禁止されていて公開する
          義務が課せられているようだ。

          またそのバグレポートをセキュリティチーム以外にも
          公開するかどうかのフラグ設定の権利は、セキュリティ
          チームだけでなく報告者自身も所有するらしい。
          だから報告者が「早急に公開を」と考えれば
          即公開も可能(だと思うがあっているか? ^^;)

          他にも、バグ扱いの考えかたや組織構造、組織の
          役割や情報開示の考え方などについて書いてある
          ので英文に堪能な人は見て内容を教えて欲しい(爆
          親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...