アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
「時限を切ってそれを過ぎたら公表する」
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。 実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
「時限を切ってそれを過ぎたら公表する」 そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。 まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
個人的な金銭目的の恐喝で
ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。
いよいよ総会屋じみて来ましたね。 総会屋が何で金取れるか知ってますか? 企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。 プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。 警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
では、「どう
「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
「特別扱いして欲しい」という期待を表明しているのではなく、別のアプローチをしないとスムーズなコミュニケーションの妨げになるという現実を指摘しているのです。 うまくコミュニケーションを取るためのKnowHowとしてプログラマサイドの考え方を示しているだけで、それを要求する気はありません。
最大限の情報が公開されるべきでしょう。
その点には同意しますが、その「最大限の情報公開」は、何もプログラマから「コントロールしている実感」を奪い取ってまで「セキ
何もプログラマから「コントロールしている実感」を奪い取ってまで「セキュリティ専門家」が行わなくても良いのではないですか?
「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。 フリーソフトというものは基本的に使用者の自己責任で使用するものではないのでしょうか? その自己責任において使用者が情報交換することに作者が文句をつける根拠はないと思います。 それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。
プログラマ自
「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。
それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。
指摘をした側も、「問題ない」と否定されると(そしてそれが間違っていると)それに再反論するのに余計なエネルギーを必要としてしまうのが人情だと思います。
という部分を引用して「その通りの展開になってる」って書いてるけど、あれは早く引っ込めた方がいいんじゃない? 明らかに間違ってるのは「パスワードのMD5値の事をパスワードと書いてるjbeefさん」であって、それを指摘した側が「間違ってない」と否定されて(そしてそれは明らかに間違い)それに再反論するのに余計なエネルギーを使っ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
私刑、ですか…… (スコア:1)
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
Re:私刑、ですか…… (スコア:0)
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
Re:私刑、ですか…… (スコア:1)
にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。
もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。
Re:私刑、ですか…… (スコア:0)
いよいよ総会屋じみて来ましたね。
総会屋が何で金取れるか知ってますか?
企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
Re:私刑、ですか…… (スコア:0)
「フリーソフトウェアだから特別扱いしてほしい」ということなのでしょうか?
フリーソフトウェアであるか商業プログラムであるかということは、利用
Re:私刑、ですか…… (スコア:0)
「特別扱いして欲しい」という期待を表明しているのではなく、別のアプローチをしないとスムーズなコミュニケーションの妨げになるという現実を指摘しているのです。
うまくコミュニケーションを取るためのKnowHowとしてプログラマサイドの考え方を示しているだけで、それを要求する気はありません。
その点には同意しますが、その「最大限の情報公開」は、何もプログラマから「コントロールしている実感」を奪い取ってまで「セキ
Re:私刑、ですか…… (スコア:1)
「コントロールしている実感」を尊重しようとすることは間違っていないとは思いますが、別に義務ということはないでしょう。
フリーソフトというものは基本的に使用者の自己責任で使用するものではないのでしょうか?
その自己責任において使用者が情報交換することに作者が文句をつける根拠はないと思います。
それはその情報をもっているのが一般的なユーザーでなく「セキュリティ専門家」でも同じ事ですよね。
うじゃうじゃ
Re:私刑、ですか…… (スコア:0)
尊重した方がコミュニケーションが円滑に進むよというサジェスチョンを与えているだけです。 使用者が情報交換することに作者が文句をつける根拠はないと思います。 無論そうです。
ただし、それは最低限の礼儀をわきまえた範囲です。
「有用である」と考えるからこそ使っているはずのソフトに、たった一つのバグが見付っただけで「一見動くように見えるけれど、実はでたらめなプログラムをばらまき人を陥れ続ける」「とっとと捨ててしまうのが最善」なプログラムだなどという礼儀知らずな人に対しては文句を付ける「権利」を有していると思います。
はぁ…… (スコア:1)
AC さんは、どのような報告形態が望ましいと考えていらっしゃるのかを書いた方がいいんじゃないんですか?
Re:はぁ…… (スコア:0)
http://srad.jp/comments.pl?sid=45784&cid=171787
的を射ない反論?にまであなたが説明や反論をする。
前掲の主張はなんだったのかと疑問なのですが。
Re:はぁ…… (スコア:0)
という部分を引用して「その通りの展開になってる」って書いてるけど、あれは早く引っ込めた方がいいんじゃない?
明らかに間違ってるのは「パスワードのMD5値の事をパスワードと書いてるjbeefさん」であって、それを指摘した側が「間違ってない」と否定されて(そしてそれは明らかに間違い)それに再反論するのに余計なエネルギーを使っ