アカウント名:
パスワード:
>とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。 違います。重視すべき点ですよね。 #MSには厳しく、Mozilla Foundationには優しくの典型的な #意見だな。
場合によっては、開発者の本性がどうなのか垣間見ることが できるからです。
修正前に公表してしまわないよう何らかの手を 打っておくのは開発元の仕事としては非常に重大なことです。
洞察力の無い人は、それに至った判断の重み付けは 別の問題のように思い込んでいるかもしれませんが、そうでは 無いケースもあるのです。 場合によっては、開発者の本性がどうなのか垣間見ることが できるからです。 それによって開発者が信用できないことが分かれば、使用
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
一般論 (スコア:2, すばらしい洞察)
見つけた脆弱性問題を適切に処理できる能力があるとは限りません。
とりあえず、発見者の公表の判断はそれほど重視すべき点ではないでしょう。
Re:一般論 (スコア:1, すばらしい洞察)
違います。重視すべき点ですよね。
#MSには厳しく、Mozilla Foundationには優しくの典型的な
#意見だな。
それが正しい判断かどうかは、公表してしまった後はどうしよも
なくなりますが、まだ修正されていない状況で詳細を
悪意の第三者を含む範囲に公表することの問題があります。
中には、IEの開発元であるMSに全くコンタクトもとらず、
はじめから投げやりな考えで脆弱性を公表し、exploitまで
公表しちゃうアホもいましたが。
脆弱性問題を適切に処理す
Re:一般論 (スコア:1)
重要であり、この問題の解決にも影響を与えているでしょう。
しかし、それに至った判断の重み付けは別の問題です。
たとえば判断力のない中学生だったとしても、知り得たことを
不用意に公表するという事実を作ることは出来るからです。
その中学生の偶発的な判断に基づいて、開発元の姿勢や体質を
占うというような愚は避けなければなりません。
それと同じことが、今回のストーリーについても言えます。
今回の Tom Ferris 氏の場合、脆弱性を公表するにあたっては
自身のウェブサイトに記事を載せた訳ですが、その記事への
コメントを全部非公開扱いとした、ということが伝わっています。
脆弱性を見つける能力があっても、そういうことをする人もいるのです。
Re:一般論 (スコア:0)
>重要であり、この問題の解決にも影響を与えているでしょう。
>しかし、それに至った判断の重み付けは別の問題です。
違います。洞察力の無い人は、それに至った判断の重み付けは
別の問題のように思い込んでいるかもしれませんが、そうでは
無いケースもあるのです。
場合によっては、開発者の本性がどうなのか垣間見ることが
できるからです。
それによって開発者が信用できないことが分かれば、使用を
やめるための重要な判断基準になります。
脆弱性を報告したのに、長期間たっても修正しないなら
使用するのをやめる
Re:一般論 (スコア:1)
開発元の姿勢や体質を占う、という愚は避けなければなりません。 Mozilla Foundation が何らかの手を打っておかなかった、
とでも思っているんでしょうか。そうだとしたら、余りにも
現実感覚のない憶測であると言わねばなりません。
何らかの手を打ったとしても、それが功を奏するか否かは
脆弱性発見者の不確かな判断力に依存します。
今回、脆弱性を公表した人の信頼性に関する情報を追加して
おきますと、当初彼が報告した内容は不十分なものでしかなく、
Mozilla Foundation のスタッフが調査した内容をあたかも自分の
手柄であるかのように公表した、という話が伝わっています。
Re:一般論 (スコア:0)
Re:一般論 (スコア:0)
「大規模でたくさんの人が利用するソフトをつっくているところの技術者は阿呆揃い」で「一人でやっているのはその阿呆揃いの技術者に渇を入れる人間」みたいになってないか? 勝手に「巨大組織の悪を正すために戦う一人の戦士」みたいなイメージ作ってるだろ?
オープンソースにありがちな考え方ではあるがな。
Re:一般論 (スコア:0)
リスクと利便性を天秤にかけて「その製品を使わない」という選択は
出来ないんですかね?
その製品を使わない判断をするための情報に脆弱性の公表は重要ですよ。
某社製のシリンダーがピッキングに弱いという情報は間接的に
泥棒の助けにもなりましたが、一般市民がシリンダー交換をする
Re:一般論 (スコア:0)
シリンダー錠は交換品があってよかったですね。できたら今回も交換品ができてから公表してほしかったと、そういう話です。
Re:一般論 (スコア:0)
Re:一般論 (スコア:0)
ヒント:ブラウザはHTMLを解釈して表示するためだけのソフトではない。