アカウント名:
パスワード:
別にMSに保証してもらおうと言う話じゃないでしょ。 何かが起きてしまった場合に社内の管理者の責任にできるから、 (当てるな!と指示されていたパッチを当てなかったためにやられたとか) 社内公認のブラウザを使うのが「自分にとって」良いと言ってるだけかと。
管理者の責任を問うのは技術には素人の経営者。 もし仮にIEであったが為の問題だとしても業界標準の製品を 使っていた事が原因だとする追究はまず無いでしょう。
それは完全な「思い込みレベル」ですよ。 「広く知られていた」なんてレベルで話が済むなら裁判所なんていらないですから。
それは完全な間違いです。特許裁判など、「広く知られていた」かどうかが 裁判の争点となりうる典型的な例ですね。 「本当に正しい」かどうかなど争う必要はありません。 「プロとして当然の注意を怠った。誤報かも知れないが 警報
穴がぽろぽろ報告されているFireFoxがはたしてセキュアなのか?と いうことが
それにプロの誇りというなら、セキュアはブラウザ単体で確保する時代じゃないのに ブラウザ単体のセキュア度を述べても意味が薄いよ。
IEとFireFoxのシェアだけを見ているなら、シェアの高い(=攻撃度の上がる)ものに対して 対応できる技術力の無さを指摘されるだけの話だ。
FirefoxがIE6より安全であるかは疑問です。 最近の脆弱性の発見数で言えばFirefoxのほうが圧倒的に多いし、
オープンソースである以上、diffをとれば修正された箇所は すぐに特定できます。
それって、本質的な脆弱性じゃないでしょ。 少なくとも、オープンソースとは関係ない。 あくまで、Mozilla Foundationの話。
OSアップグレードに必要な各種経費とメリット・デメリット をまとめて稟議提出。 # そして却下されるorz
責任分担の自己負担分次第です。 例えば、ブラウザの脆弱性での責任負担分として「MSでサポートされている範囲内」ってのはよくある話。 つまり、ある程度業務に使用する上での責任保障としては「それなり」には認識されている訳です。 でもって、それ以外の項目は予め「免責」としている。 そりゃそうです。誰も未だ知らない様なモノまで責任を負わされても確実にこなす為には、世界中の人間が解析するよりも早く穴を見付け・対策するための予算・人員を用意する必要がありますが、それは現実的ではありません。 ですから、必要最低限の内容を規定する事により、現実的に「仕事が出来る」状況を作る訳です。 #「どんなモンでもパーフェクトにカバーして無限責任を負え」なんて話は「ゴメンナサイ」以外は言えませんから。
でもって、そういう基準としてMSとかIEって言うのは「それなり」に現状を理解されている。 でも、FireFoxとなるとそうとも言えない。ってのも大きいかと。
FireFoxでトラブルを起こった時の為にどの様に客先と責任分担をするのか?って事に成ると、往々にして内容を理解していない場合が多い。 となると、その責任分担をそのまま被せられてしまうって可能性が大きい。 そりゃそうです。客も理解していないリスクを負担するのは嫌がりますから。
つまり、無理にFireFoxを使ってしまうと、 「往々にしてはIEより安心。でもトラブルとシャレにならない責任分担を要求される可能性が高い。」 って可能性が。 で、結局リスクの読めるIEが対象ブラウザとなるって事にも。
#それですらIEを完全に放逐出来ての初めての話しだしね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
しょせん雇用者 (スコア:2, すばらしい洞察)
その穴を突かれて個人情報とか抜かれたりする危険を
犯すより、無能だろうが官僚的だろうが、管理者の言う
ことを盲信した振りするのが無難。
うちの会社はどういう指示が出るのだろうか・・・ (スコア:1)
いつも
「IEのパッチを当てれ~ 当てれ~」
と言われるのです。
だから、きっとIE7にしなさいという命令がでます。
ですが、2000でIE7がないとなると・・・
1.IE6とIE7の併用環境
2.OS を XP にあげろという命令がでる。
IE7とFireFoxの併用環境ってありえないような気がする。どう考えても
危険が少ない事の保障は誰がしているか (スコア:0)
公認するに当たって危険度が低い事は管理者が
保障しているのでしょうね。
自分は絶対に保障できないので上の言いなりです、ハイ。
社の方針に従えば (スコア:2, 参考になる)
もしセキュリティ・ホールをつかれて事件が起きたとき、セキュリティ勧告をずっと放置しておいたことが原因だったりすれば、管理者個人の責任が問われることもあるとおもいますが、これは職務怠慢が問われるのであって、製品の安全性を見誤ったためではないでしょう。
けど、組織としてのセキュリティ確保って、単純にルールを守らせるとか、使用するソフトを決めるだけでは確保できないですよね。セキュリティ・ポリシーに沿った行動をしていても、それがどんな目的で定められているのか理解できないと、想定外の穴を開けてしまうこともあるでしょうし、ポリシーを状況に応じて改訂していくこともできないでしょうし。
Re:危険が少ない事の保障は誰がしているか (スコア:1)
何かが起きてしまった場合に社内の管理者の責任にできるから、
(当てるな!と指示されていたパッチを当てなかったためにやられたとか)
社内公認のブラウザを使うのが「自分にとって」良いと言ってるだけかと。
#そもそもFireFoxなんて全てが無保証だし。
しょせん被雇用者に過ぎない (スコア:1)
未解決の脆弱性だらけ [srad.jp]の IE 6 で問題が起きたときの責任を
取れるものだろうか。エンドユーザはシステム管理者にぶら下がって
それで済むかも知れないけれど、管理者としては考えどころだろう。
Firefox を1台1台インストールする手間は確かに大きいけれど、
もしも IE を安全に使う道が、OS アップグレードと IE 7 への乗り換え
しかないのであれば、そのときどうしますか? という話。
Re:しょせん被雇用者に過ぎない (スコア:1, すばらしい洞察)
管理者の責任を問うのは技術には素人の経営者。
もし仮にIEであったが為の問題だとしても業界標準の製品を
使っていた事が原因だとする追究はまず無いでしょう。
現実的な責任問題としては
業界標準の製品に対して世間標準レベル並の運用がされていたか?
を問うことになりましょう。
そして実際に世間標準レベル以上の運用がされてさえいれば
管理者にとって不可避の事故だったとして処理されるでしょう。
逆に業界標準であるIE以外で問題が起きた際の経営者から
の追求の方が熾烈を極めることが予想されます。
業界標準でない製品を何故選んだのか?そこから追求されます。
Re:しょせん被雇用者に過ぎない (スコア:1, 興味深い)
事故が起きた時点で「IE 6 が脆弱であり、より安全と考えられる
選択肢の存在が広く知られていた」ことを証明させるのは、別段
難しくない話なんですね。業界標準なんて言葉は、法的ケンカ師の
手にかかれば粉砕されてしまいます。単なるトレンドの話など
していない、デューディリジェンスの問題だ、とかね。
そうだとすると、コトが起きたときのシステム管理者の法的立場は
けっこう微妙。裁判にならないケースでも、裁判になったときの
「期待値」をベースにして示談の内容が決まりますから。
ま、経営者が絶対逆ギレしない、という確信があれば別ですが。
Re:しょせん被雇用者に過ぎない (スコア:2, すばらしい洞察)
>技術に素人の経営者であっても、そこそこの弁護士を雇えば
>事故が起きた時点で「IE 6 が脆弱であり、より安全と考えられる
>選択肢の存在が広く知られていた」ことを証明させるのは、別段
>難しくない話なんですね。
それは完全な「思い込みレベル」ですよ。
「広く知られていた」なんてレベルで話が済むなら裁判所なんていらないですから。
「広く知られていた」が「本当に正しいか」は全くの別問題です。
そもそもFirefoxの安全性をどう証明するか、
(発見されていないであろう穴も含め)
それをI.E.と比べてどう証明するかの立証責任は原告側にあります。
ここの技術者の間ですら議論が絶えない話題なのに、
これらの難しい問題を門外漢の裁判官に認めさせるのは至難の技です。
ココで話している井戸端会議レベルじゃ話にならんですよ。
つまり、現実は裁判にすらならない(棄却)が妥当かと思われます。
それ以前に・・・ (スコア:0)
そこで管理者に詰め腹を切らせる事前提の経営者に雇われ続けているってのが問題なんでないかい?
結局何が違ってもその違う事を問題
Re:しょせん被雇用者に過ぎない (スコア:0)
>選択肢の存在が広く知られていた」ことを証明させるのは、別段
>難しくない話なんですね。業界標準なんて言葉は、法的ケンカ師の
IE6が脆弱なのはいいとして、より安全な選択肢ってどれですか?
思い込みではないでしょうね。
FirefoxがIE6より安全であるかは疑問です。
最近の脆弱性の発見数で言えばFirefoxのほうが圧倒的に多いし、
オープンソースである以上、diffをとれば修正された箇所は
すぐに特定できます。
その修正内容を見れば脆弱性に関する情報が出る前にどのような
脆弱性なのか知ることができ、0 day
Re:しょせん被雇用者に過ぎない (スコア:0, フレームのもと)
それは完全な間違いです。特許裁判など、「広く知られていた」かどうかが
裁判の争点となりうる典型的な例ですね。
「本当に正しい」かどうかなど争う必要はありません。
「プロとして当然の注意を怠った。誤報かも知れないが
警報
Re:しょせん被雇用者に過ぎない (スコア:1)
>これらの難しい問題を門外漢の裁判官に認めさせるのは至難の技です。
ACCS事件の青柳裁判長の名言「問題のファイルには、FTPサーバからIDとパスワードを入力してアクセスするのが通常。」を聞いた時、技術者にとって難しい問題でも、ごまかしごまかし「これが一般的な見方なんですよ」と裁判官に認めさせ…もとい印象付ければ勝ちなんだなあ、と思いました。
Re:しょせん被雇用者に過ぎない (スコア:0)
#FireFoxのシェアが、IEと肩を並べるくらいまで来たなら、
#導入検討しても構いませんけどね。
Re:しょせん被雇用者に過ぎない (スコア:0)
いうことが「セキュアだと広く知られていた」に合致するのかという
点が甚だ疑問だし、争点になることは間違いないでしょう。なので
vn氏の論理は無理があります。
それにプロの誇りというなら、セキュアはブラウザ単体で確保する時代じゃないのに
ブラウザ単体のセキュア度を述べても意味が薄いよ。IEとFireFoxの
シェアだけを見ているなら、シェアの高い(=攻
Re:しょせん被雇用者に過ぎない (スコア:1)
IE 6 なら同程度に深刻な穴が常設 [srad.jp]です。
プロならば、この情報を踏まえて真摯に行動すべきでしょう。 安全でないブラウザをなんとか騙しながら使おう、という"ソリューション"を
売りたがる会社はありますが、そんなのは複雑で扱いにくい「システム」を
作ってしまう、回避すべきアプローチです。ファイアウォールに機能を求めるとすれば、
microsoft.com 以外は IE 6 でアクセス不可能にすれば十分でしょう。 そもそも格段に脆弱なものを組み込まない、というのは歴とした技術力です。
他のアプローチと比べて、経済的な解をすばやく提供するでしょう。
Re:しょせん被雇用者に過ぎない (スコア:0)
リリースするまで、セキュリティ絡みだけ違うツリーで作業して、バイナリをテスターに回せばいいんだから。
Re:しょせん被雇用者に過ぎない (スコア:1)
ほとんど意味ありません。 興味深い議論です。
Mozilla Foundation も馬鹿ではないので、公式 FTP サイトには
リリース版以外のソースコードは見つかりませんでした。
セキュリティパッチが施されたとされる 1.0.4 と 1.0.5 の diff を
取ると...私のような軟弱者には、とても見る気が起こらないような
差分が取れました。全体で 260MB に及ぶソースの中で、大量の
修正箇所の意味を把握するとなると、あまり割に合いません。
それだけの努力と才能があったら、Mozilla Foundation で名を成す
ほうが永続的に儲かりそうな気がします。
"すぐに特定できる" というのは事実です。確かに diff の実行には数分しか
かかりません。しかし、半分だけの事実のように私には読めます。
Re:しょせん被雇用者に過ぎない (スコア:2)
脆弱性が修正された前後のソースコードを誰でも比較できるというのは、
あくまで本質的な問題提起と言わなければなりません。
反論するには、比較のコストを意識しなければなりません。
例えばもしも nightly build のソースを公開していたとしたら、
比較のコストを不適切に引き下げているという点で批判されることも
あり得ます。
"あくまで、Mozilla Foundationの話" という文章に私は強く異議を申し立てます。
そんな考え方では、雪印牛乳事件も、三菱自動車事件も、臨界事故も、
アスベスト事件も、カネボウ事件も、JR西日本のような事故も、
日本からなくなりません。
Re:しょせん被雇用者に過ぎない (スコア:0)
Re:しょせん被雇用者に過ぎない (スコア:1)
それに Safari の例だけでオープンソースが関係ないとは言えない。
頭に血が上った状態で反論するより、相手の議論をよく読むべきだね。
というわけで、「もうちょっと勉強して下さい。」
Re:しょせん被雇用者に過ぎない (スコア:0)
> しかないのであれば、そのときどうしますか? という話。
OSアップグレードに必要な各種経費とメリット・デメリット
をまとめて稟議提出。
# そして却下されるorz
Re:しょせん被雇用者に過ぎない (スコア:1)
とにかく代替案があるのだから、元気出して。
Re:危険が少ない事の保障は誰がしているか (スコア:0)
Re:危険が少ない事の保障は誰がしているか (スコア:0)
給料が安すぎるのかな。
Re:危険が少ない事の保障は誰がしているか (スコア:1)
責任分担の自己負担分次第です。
例えば、ブラウザの脆弱性での責任負担分として「MSでサポートされている範囲内」ってのはよくある話。
つまり、ある程度業務に使用する上での責任保障としては「それなり」には認識されている訳です。
でもって、それ以外の項目は予め「免責」としている。
そりゃそうです。誰も未だ知らない様なモノまで責任を負わされても確実にこなす為には、世界中の人間が解析するよりも早く穴を見付け・対策するための予算・人員を用意する必要がありますが、それは現実的ではありません。
ですから、必要最低限の内容を規定する事により、現実的に「仕事が出来る」状況を作る訳です。
#「どんなモンでもパーフェクトにカバーして無限責任を負え」なんて話は「ゴメンナサイ」以外は言えませんから。
でもって、そういう基準としてMSとかIEって言うのは「それなり」に現状を理解されている。
でも、FireFoxとなるとそうとも言えない。ってのも大きいかと。
FireFoxでトラブルを起こった時の為にどの様に客先と責任分担をするのか?って事に成ると、往々にして内容を理解していない場合が多い。
となると、その責任分担をそのまま被せられてしまうって可能性が大きい。
そりゃそうです。客も理解していないリスクを負担するのは嫌がりますから。
つまり、無理にFireFoxを使ってしまうと、
「往々にしてはIEより安心。でもトラブルとシャレにならない責任分担を要求される可能性が高い。」
って可能性が。
で、結局リスクの読めるIEが対象ブラウザとなるって事にも。
#それですらIEを完全に放逐出来ての初めての話しだしね。
Re:危険が少ない事の保障は誰がしているか (スコア:0)
日本では、世間一般とは違う事をして失敗した場合、追及厳しいですよ?
Re:危険が少ない事の保障は誰がしているか (スコア:0)
→MSだからしゃーないな。
●FFで事故を起こした場合
→そんな怪しいものを使ってるお前が全面的に悪い
てところは多かれ少なかれあるかと思います。
Re:危険が少ない事の保障は誰がしているか (スコア:0)
いるかによるかと。勝手にインストールして、orzってな
ことになれば、なんでも「怪しいもの」に成り下がるさ
# FFって見るとゲームばかりが連想される…