アカウント名:
パスワード:
既に攻撃が実行されているとは言え、わずか1週間で公表って…NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。
何週間か経ってから、「だいぶ前に攻撃があることを確認してたけど、修正間に合わなかったんで隠してました!その間皆さんのPCは攻撃され放題だったけど、知ったこっちゃありませ~ん!」て感じに対応した方が良かった?
それなら即時公開で良いのでは。1週間攻撃され放題たっだのでしょう?
「Googleが気付いてから1週間」なので、攻撃され放題だったのは1週間では済まないと思われ。確かに即時公開でも良いような気がする。一応MSの顔を立てるために、MSからの公表を待ってた、とかなのかな?
単に自社の穴を即時公開されたくないからでは。他社の案件で1週間待ったからこれより早く公開されたら非難できる余地がある。
そもそも穴なので、たとえ緩和策でも対策があるなら公開が遅くて会社の得になることはないできれば他社の顔を潰さない形かつ可能な限り早く公開するのが業界の利益になる遅らせると信用を失うし反社会的組織の資金源になる
とんでもない脆弱性であってもマイナーであればあまり脅威ではないときもあるメジャーになると最悪
まず、この脆弱性の前に使われるFlashの脆弱性は修正パッチリリース済み。なので、確認されている攻撃に対する緩和策は施されていると考えていい。
そのうえでGoogleが修正準備中のWindows側の脆弱性を公表したってことは、全世界の悪意のハッカーたちに対して、修正される前にFlash以外の手法を使ってこのWindowsの脆弱性を突く攻撃を考えてくれたまえ、って訴えかけたことになるね。
ほんと、やり方が厭らしい。
昔90日だった気がするぞ。短くなってる。
これかな?
Google、未解決の脆弱性情報の公開に「猶予期間」設定 Microsoftの批判受けhttp://www.itmedia.co.jp/enterprise/articles/1502/16/news038.html [itmedia.co.jp]
アドバイザリが未公開→7日、パッチ未提供→90日、ということだろうか?
対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。
真の目的については賛同しないけど重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも
既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。
公開された情報で被害を抑えられるユーザよりも、公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。
ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。
ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。
それだと、やられちゃってる人は指をくわえてみていろと?
公開した所で気づかずやられてるだけの奴が大半だろ。被害者の数%を保護するために被害者の数を100倍にするとかは本末転倒。
幾ら目が多かった所でそいつらの警告に耳を傾けてなきゃ意味がない。
すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。
しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。
Googleが脆弱性を公表したことでそれがどうなるか。
元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。
果たしてどちらが正しいだろうか。
防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。企業では未だにXPが現役で稼働しているところも結構あるし、脆弱性が出ようが何しようが動く限り古い言語バージョンやフレームワーク使い続けるのは珍しくない。
ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。
被害リスクの方が大きいだろうな……
なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。
結果、メーカーから緊急で修正がリリースされたんだから、既に攻撃されていたユーザにとっては良いことなんじゃない?
ほとんどのシステム管理者にとって対策とはパッチをあてる事。OSなりアプリケーションなりのアップデートが来ない限り、脆弱性が公開されても打つ手なし、と考える輩が大半。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
7日って… (スコア:0)
既に攻撃が実行されているとは言え、わずか1週間で公表って…
NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。
Re: (スコア:0)
何週間か経ってから、「だいぶ前に攻撃があることを確認してたけど、修正間に合わなかったんで
隠してました!その間皆さんのPCは攻撃され放題だったけど、知ったこっちゃありませ~ん!」て
感じに対応した方が良かった?
Re: (スコア:0)
それなら即時公開で良いのでは。
1週間攻撃され放題たっだのでしょう?
Re: (スコア:0)
「Googleが気付いてから1週間」なので、攻撃され放題だったのは1週間では済まないと思われ。
確かに即時公開でも良いような気がする。
一応MSの顔を立てるために、MSからの公表を待ってた、とかなのかな?
Re: (スコア:0)
単に自社の穴を即時公開されたくないからでは。
他社の案件で1週間待ったからこれより早く公開されたら非難できる余地がある。
Re: (スコア:0)
そもそも穴なので、たとえ緩和策でも対策があるなら公開が遅くて会社の得になることはない
できれば他社の顔を潰さない形かつ可能な限り早く公開するのが業界の利益になる
遅らせると信用を失うし反社会的組織の資金源になる
おしりからミミズが出てきたYO (スコア:0)
とんでもない脆弱性であってもマイナーであればあまり脅威ではないときもある
メジャーになると最悪
Re: (スコア:0)
まず、この脆弱性の前に使われるFlashの脆弱性は修正パッチリリース済み。
なので、確認されている攻撃に対する緩和策は施されていると考えていい。
そのうえでGoogleが修正準備中のWindows側の脆弱性を公表したってことは、全世界の悪意のハッカーたちに対して、修正される前にFlash以外の手法を使ってこのWindowsの脆弱性を突く攻撃を考えてくれたまえ、って訴えかけたことになるね。
ほんと、やり方が厭らしい。
Re: (スコア:0)
昔90日だった気がするぞ。短くなってる。
Re: (スコア:0)
これかな?
Google、未解決の脆弱性情報の公開に「猶予期間」設定 Microsoftの批判受け
http://www.itmedia.co.jp/enterprise/articles/1502/16/news038.html [itmedia.co.jp]
アドバイザリが未公開→7日、パッチ未提供→90日、ということだろうか?
Re: (スコア:0)
対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。
他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。
Re:7日って… (スコア:1)
真の目的については賛同しないけど
重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも
Re: (スコア:0)
既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。
それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。
Re: (スコア:0)
公開された情報で被害を抑えられるユーザよりも、
公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。
実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。
ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…
10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。
ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、
7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。
Re: (スコア:0)
それだと、やられちゃってる人は指をくわえてみていろと?
Re: (スコア:0)
公開した所で気づかずやられてるだけの奴が大半だろ。
被害者の数%を保護するために被害者の数を100倍にするとかは本末転倒。
幾ら目が多かった所でそいつらの警告に耳を傾けてなきゃ意味がない。
Re: (スコア:0)
すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。
エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる
低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。
しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。
つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。
Googleが脆弱性を公表したことでそれがどうなるか。
元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。
被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。
果たしてどちらが正しいだろうか。
Re: (スコア:0)
防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。
企業では未だにXPが現役で稼働しているところも結構あるし、
脆弱性が出ようが何しようが動く限り古い言語バージョンや
フレームワーク使い続けるのは珍しくない。
Re: (スコア:0)
ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。
攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。
被害リスクの方が大きいだろうな……
なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。
全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。
「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。
Re: (スコア:0)
結果、メーカーから緊急で修正がリリースされたんだから、
既に攻撃されていたユーザにとっては良いことなんじゃない?
Re: (スコア:0)
ほとんどのシステム管理者にとって対策とはパッチをあてる事。
OSなりアプリケーションなりのアップデートが来ない限り、脆弱性が公開されても打つ手なし、
と考える輩が大半。