パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

WindowsのASN.1ライブラリに致命的な欠陥、影響は特大」記事へのコメント

  • 今回のような脆弱性の発見報告からpatchの公開まで半年かかると
    いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
    告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
    やはり脆弱性情報は対象企業・団体と調整の上で公開すべ
    • 同意です。
      期限は、対策までの期限でもあるけど、
      返事をもらうまでの期限でもありますよね。
      「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
      という返事がくれば、第1段階はクリアですよね。

      • 期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから

        1. 現象の確認および原因を確定する段階

          修正点(それによる副作用を含む), あるいは回避方法を確定する段階

          修正を行う場合に修正版が公開される段階

        のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的な

        • それを義務付けるなら質問者側にも義務付けたい。
          5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
          Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
          きちんとした説明ができているQが如何に多くないか、という現実を
          無視してサイト側だけの義務を重くするのはバランス
          • 「義務づける」って、それで給料を貰ってる訳でもない善意の報告者にですか?

            5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
            事前にわかってれば助かるというのは十分理解できますが。

            >無視してサイト側だけの
            • > 別に問題点を報告する義務なんてないのに。

              これをいっちゃあお終いだと思うけど。
              これへの返しは、サイトは返答義務が無くなるということです。
              返答を義務づけるのなら、それ相応の報告をせよというだけのこと。
              意味不明だったり非現実的な報告され
              • >「TSL欠陥あるよ」とかだけ書かれたメール(一例)貰っても

                「もっと詳しく教えてくんない?」ってメールを返すのじゃだめ?
                お互いに義務は無いかもしれないけど、良いサイクルに持っていくには
                サイト側が歩み寄った方が良いと思いますよ。大した手間じゃなければですが。
                --

                --- (´-`)。oO(平和な日常は私を鈍くする) ---
                親コメント
              • >「もっと詳しく教えてくんない?」ってメールを返すのじゃだめ?

                だめ。
                最初の報告が手抜きなお方は、その後も建設的な話し合いが
                できる可能性はかなり低いので。

                聞く耳持たない、日本語が通じない、を実感できますね。

                #実感したくはないが。(嫌

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...