パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大」記事へのコメント

  • 今回のような脆弱性の発見報告からpatchの公開まで半年かかると
    いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
    告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
    やはり脆弱性情報は対象企業・団体と調整の上で公開すべ
    • 同意です。
      期限は、対策までの期限でもあるけど、
      返事をもらうまでの期限でもありますよね。
      「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
      という返事がくれば、第1段階はクリアですよね。

      • 期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから

        1. 現象の確認および原因を確定する段階

          修正点(それによる副作用を含む), あるいは回避方法を確定する段階

          修正を行う場合に修正版が公開される段階

        のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な

        • それを義務付けるなら質問者側にも義務付けたい。
          5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
          Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
          きちんとした説明ができているQが如何に多くないか、という現実を
          無視してサイト側だけの義務を重くするのはバランス
          • 「義務づける」って、それで給料を貰ってる訳でもない善意の報告者にですか?

            5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
            事前にわかってれば助かるというのは十分理解できますが。

            >無視してサイト側だけの
            • by Anonymous Coward on 2004年02月12日 0時58分 (#493887)
              報告者に5W1Hを義務付ける必要なんぞないとは思う。
              が、しかし5W1Hが欠けていたら、相手に伝わらない(伝わりにくい)わけで。
              それではいったい何のためにわざわざ報告するのかと。

              # あーそうか、5W2Hだからセキュリティゴロか(違
              親コメント

※ただしPHPを除く -- あるAdmin

処理中...