アカウント名:
パスワード:
#ベンダに通告することに報告者に何のメリットもない上、業務妨害等恫喝される可能性すらある以上、私もこれが正しい脆弱性の公開方法だと思いますね。
これは事実ですけど、そのための匿名。間違いがなくとも訴えられるのは、すでに事例としてあるわけですから、間違いを気にすることにほとんど意味はありません。一方、ベンダの利害は関知しなくとも、その利用者に対して当該ベンダの脆弱性情報は参考になりますし、実際の PoF を合わせて公開すれば確認も出来る (その際に不正アクセスにならないようにしなければならないですし、法治国家とは縁も縁もない日本の場合それがかなり難しいのは確かですけど)。そういう意味で、匿名の場で情報の交換が出来るのは、現在の状況からするととても好ましいことに感じます。少なくともまるで信用の出来ない IPA や JPCERT を頼るよりは遙かにましでしょう。
#第一、悪意が本当にあるならもっとそれなりのやりようがあるわけで。
って事で、まずは自分がベンダーの善意を信じて通報することをオススメ。
『常識的』な応対を心がければ、別に変な事にはならないと思いますよ。
#精々が無視されたりする程度。
自分で相手との対人関係を信じないって言う態度が出ていれば、当然相手も信じられないでしょうに。
それに、大抵の相手はこちらがサイコな発言や行動をしなければ、祟ってきたりはしないもんです。
ってか、何で相手には 「自分の善意を無根拠・無条件で完全に信じろ。」 って言っていながら、自分は 「おまえらの善意なんか一切合財全然これっぽっちも信じないもんね。」 ってのがデフォルトなのかってのが疑問なんだけど。
だってここは /.-J なんだもん。
> 件のページにはユーザがとれる対策も併せて掲載されていますので
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
公開の必要性 (スコア:1, すばらしい洞察)
ベンダーへの通知より先に公開してしまうことにはどんなメリットがあるんだろう?
一般ユーザのセキュリティ意識を高める?リスキーすぎると思うけどなぁ。
Re:公開の必要性 (スコア:1)
逮捕されちゃったりしないんでしょうか?
And now for something completely different...
Re:公開の必要性 (スコア:0)
Re:未必の故意 (スコア:0)
証明する立場だったら、文化庁の偉い人が後ろについていても
捕まっちゃうから、イザとなれば煽動的な言動は関係無いと思われ。
まあ、河合長官の甥っこさんは挑発的なメールを送っていたらしいがw
まー要するに、これを使った誰かがいたけど、捕まえるのが面倒だ
でも、誰かにオトシマエをつ
Re:公開の必要性 (スコア:0)
決め付けちゃいけませんよ、*同時*かもしれないでしょう。
それはともかく、「未発表」の脆弱性というのはなんだかなあ、
少なくともこの人は自分のサイトで「発表」してるんじゃないの?
# もちろん、より適切な場所が他にあるのは否定しません。
Re:公開の必要性 (スコア:0)
Re:公開の必要性 (スコア:1)
>これぞ正しい脆弱性の公開方法だ。
そうする目的、というか、あなたの考えている理想のネット社会のあり方はどのようなものなの?
Re:公開の必要性 (スコア:2, すばらしい洞察)
#ベンダに通告することに報告者に何のメリットもない上、業務妨害等恫喝される可能性すらある以上、私もこれが正しい脆弱性の公開方法だと思いますね。
Re:公開の必要性 (スコア:2, すばらしい洞察)
(恫喝ではなく)実際に訴えられる可能性があると思えるんですが。
ベンダへの通告に報告者にメリットがないのは同感です。
ただ、私にはベンダに報告しないリスク(デメリット)の方が大きい様に思えます。
# 間違いがなくても訴えられるリスクは考えた方が良い気がしますけど。
Re:公開の必要性 (スコア:1, 興味深い)
見つけても黙ってるか、
情報をWinnyみたいなもので流すことで発信者の特定を逃れるか、
どっちかしかないってことですね
Re:公開の必要性 (スコア:1)
これは事実ですけど、そのための匿名。間違いがなくとも訴えられるのは、すでに事例としてあるわけですから、間違いを気にすることにほとんど意味はありません。一方、ベンダの利害は関知しなくとも、その利用者に対して当該ベンダの脆弱性情報は参考になりますし、実際の PoF を合わせて公開すれば確認も出来る (その際に不正アクセスにならないようにしなければならないですし、法治国家とは縁も縁もない日本の場合それがかなり難しいのは確かですけど)。そういう意味で、匿名の場で情報の交換が出来るのは、現在の状況からするととても好ましいことに感じます。少なくともまるで信用の出来ない IPA や JPCERT を頼るよりは遙かにましでしょう。
Re:公開の必要性 (スコア:0)
>情報をWinnyみたいなもので流すことで発信者の特定を逃れるか、
ソフトウェアの脆弱性の報告で、ソフトウェアの匿名性を信頼するのは本末転倒だろ。
まあ、普通に考えれば報告の仕組み作りを模索した方が有意義だろうね。
そういや、昔にMSやらのメーカーが集まって報告の会議やってたけどあれってどうなったんだろ。
Re:公開の必要性 (スコア:1)
# ちょっと話の繋がりが見えませんが、今回のHPって匿名なんでしょうか?
# まあ、実名表記はなさそうですけど。その程度の匿名だと訴訟対策としては、意味はないと思いますが。
閑話休題。
匿名によるリスクの低減というのは否定はしませんし、匿名の場で情報の交換の場があっても
良いと思います。
が、匿名の推奨というのはまんま(#597913) のご自身の意見を否定している気がしますが。
匿名では本人の自己満足以上のメリットはないですし、メリットがない以上、当人の善意
をあてにしないと成り立ちません。
まあ、情報交換の場には同好の士が集まるでしょうから趣味としては満足出来るのがメリット
といえばメリットなんでしょうけど。いずれにせよ、それだと趣味の域を出ないと思います。
それが大きな信用を得るには、より多くの善意の積み重ねが必要だと思いますよ。
Re:公開の必要性 (スコア:0)
でも他人が善意を持っていることを「前提」にしていないと自分が磨り減ってしまうと思います。
# いまいち自分でも何を言いたいのか分かってないのでAC
Re:公開の必要性 (スコア:0)
リスクマネジメント
Re:公開の必要性 (スコア:1)
#第一、悪意が本当にあるならもっとそれなりのやりようがあるわけで。
Re:公開の必要性 (スコア:1)
って事で、まずは自分がベンダーの善意を信じて通報することをオススメ。
『常識的』な応対を心がければ、別に変な事にはならないと思いますよ。
#精々が無視されたりする程度。
Re:公開の必要性 (スコア:0)
Re:公開の必要性 (スコア:1)
「自分の善意を無根拠・無条件で完全に信じろ。」
って言っていながら、自分は
「おまえらの善意なんか一切合財全然これっぽっちも信じないもんね。」
ってのがデフォルトなのかってのが疑問なんだけど。
自分で相手との対人関係を信じないって言う態度が出ていれば、当然相手も信じられないでしょうに。
それに、大抵の相手はこちらがサイコな発言や行動をしなければ、祟ってきたりはしないもんです。
Re:公開の必要性 (スコア:0)
だってここは /.-J なんだもん。
オフトピではあるのだけれど(Re:公開の必要性) (スコア:0)
;; 世界人類が平和ボケでありますように♥
Re:公開の必要性 (スコア:0)
いくつかの問
Re:公開の必要性 (スコア:1)
=^..^=
Enjoy Computing, Skiing, as much as Horse Racing.
Re:公開の必要性 (スコア:0)
危険性がわかればそのサービスを使わないという事で、ベンダーの対処以前に安全になれる。