パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEのFTPダウンロードに脆弱性」記事へのコメント

  • by Anonymous Coward
    > セキュリティ企業のSecuniaがIEの新たな脆弱性を報告したとのこと

    セキュリティ関係の会社は脆弱性の発見/報告すること自体が
    会社の宣伝になるってことだよな。そりゃ目を皿にして探すよね。
    • 宣伝? (スコア:0, フレームのもと)

      Microsoft がパッチを発行する前に、いっつも情報をリークさせてしまう Secunia という企業に、あまり良い印象は持てません。

      --
      むらちより/あい/をこめて。
      • リークも何も secunia はすでに他の人が公開してる情報を流しているだけですよ?(ちなみに今回の件のオリジナルのアドバイザリは
        こっち [7a69ezine.org]。Secunia が取り上げてるのは出てから1週間ほど経ってから)

        公開情報を流して「良い印象がもてない」っていわれても。
        • どうも、新年早々揚げ足とられてます、T.MURACHI でございます。

          そもそも Secunia という企業が何をやっている団体なのかいまいちよく分かっていないわけでありますが、基本的にはどこかで公開されちゃっているセキュリティー情報を収集して公表する、まとめサイトみたいなことをやっている企業ってことなのかしら?

          過去にも、未パッチの穴が (MS 製品

          --
          むらちより/あい/をこめて。
          • Re:宣伝? (スコア:4, 参考になる)

            by Henrich (121) on 2005年01月05日 15時28分 (#674450)
            まぁ、他の人からもフォローもらってるから大体のところはいいかな、という気になりました :-)
            (thanks > vikke さんと AC な人たち)

            で、これで終わると面白くないというところなので、続けてみましょう。

            ・Secunia がどんな企業なのか?
            -> 彼ら自身の Web サイトを見てみるのが手っ取り早いのではないかな。
             ということで 会社のプロフィール [secunia.com] を見てみるとか。

            -> 彼らが言っていることがまともかどうかを判断しましょう。
             「An effective security solution starts with a position of expertise.」と掲げていますね。訳すと「効果的なセキュリティは専門家の判断から始まる」かな。財政基盤とそのビジネスモデルからソフト・ハードベンダーにおもねるような事無く活動する IT セキュリティ情報企業、という位置づけらしい。なるほど。

            そのサイトを見ても提供している情報は大体が「プロダクトとその脅威の情報と度合い」であって、「exploit などの攻撃方法を詳細に説明」したものではない。これならよっぽど securityfocus (現シマンテック)の bugtraq [securityfocus.com] や fulldisclosure [neohapsis.com] のほうが危険ですよ。(うちの Norton Antivirus は「warm ですよ!」って警告出してくれますし :-)

            それどころか「現在公になっている問題」をプロダクト(たとえばInternet Explorer) ごとにリストアップしてくれてるなんて、管理者側にとっては「リスクの計算根拠」になるじゃないですか。自身で材料集めて分かりやすい説明資料にするの、大変でしょう?>世の管理者諸兄

            「隠蔽によるセキュリティというのはうまくいかないことが経験的に分かっている」 [debian.org]という言葉も有ります。すでに公になっている (in the wild) 攻撃に対する危険性を喚起してくれているのですから、有用でありこそすれ、「悪印象」を抱くのは筋違いではないでしょうか?
            親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...