アカウント名:
パスワード:
既に攻撃が実行されているとは言え、わずか1週間で公表って…NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。
対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。
真の目的については賛同しないけど重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも
既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。
公開された情報で被害を抑えられるユーザよりも、公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。
ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。
ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。
それだと、やられちゃってる人は指をくわえてみていろと?
公開した所で気づかずやられてるだけの奴が大半だろ。被害者の数%を保護するために被害者の数を100倍にするとかは本末転倒。
幾ら目が多かった所でそいつらの警告に耳を傾けてなきゃ意味がない。
すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。
しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。
Googleが脆弱性を公表したことでそれがどうなるか。
元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。
果たしてどちらが正しいだろうか。
防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。企業では未だにXPが現役で稼働しているところも結構あるし、脆弱性が出ようが何しようが動く限り古い言語バージョンやフレームワーク使い続けるのは珍しくない。
ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。
被害リスクの方が大きいだろうな……
なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。
結果、メーカーから緊急で修正がリリースされたんだから、既に攻撃されていたユーザにとっては良いことなんじゃない?
ほとんどのシステム管理者にとって対策とはパッチをあてる事。OSなりアプリケーションなりのアップデートが来ない限り、脆弱性が公開されても打つ手なし、と考える輩が大半。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
7日って… (スコア:0)
既に攻撃が実行されているとは言え、わずか1週間で公表って…
NexusとPixel以外のAndroidなんてそんな早くに対応できないだろうに。
Re:7日って… (スコア:0)
対策がまだなのに公表なんかしたら圧倒的に被害の方が多くなりそうなもんだが。
他社を貶めるのが真の目的だからこんなやり方してるんだろうけど。
Re:7日って… (スコア:1)
真の目的については賛同しないけど
重大な0デイ後悔にあたっては、総合的な観点からの躊躇と遠慮が欲しい、かも
Re: (スコア:0)
既に攻撃始まってるんだから、攻撃側には周知の脆弱性なんでしょ。
それを守備側にだけ秘密にすることが、被害を抑えることに繋がるとは思えない。
Re: (スコア:0)
公開された情報で被害を抑えられるユーザよりも、
公開された情報から攻撃を組み立てた攻撃者による被害のほうがデカイと思うが。
実際に攻撃が起きていても知ってる奴しか知らないなら攻撃元も被害もある程度限定される。
ベンダによるパッチの代わりになる位の価値も無いのに被害を抑えるとか言われてもね…
10日待ったんで公開って必然性も分からんし半端過ぎて嫌がらせにしかなってない。
ベンダに先回りしての情報公開が許されるのは、ベンダに修正の意志ないしは能力がない場合と、
7日どころか即時警戒(回線遮断等)を呼びかける必要があるレベルの攻撃発生中くらいだろう。
Re: (スコア:0)
それだと、やられちゃってる人は指をくわえてみていろと?
Re: (スコア:0)
公開した所で気づかずやられてるだけの奴が大半だろ。
被害者の数%を保護するために被害者の数を100倍にするとかは本末転倒。
幾ら目が多かった所でそいつらの警告に耳を傾けてなきゃ意味がない。
Re: (スコア:0)
すでに一部の攻撃者は、脆弱性を知っていて攻撃に及んでいた。
エクスプロイトコードも公開されていて、スクリプトキディ等と呼ばれる
低俗なクラッカーであっても脆弱性の存在を知っていれば攻撃が可能。
しかし被攻撃者は、Microsoftが脆弱性を隠していたため、攻撃の事実すら知らない者が多数。
つまり一部の攻撃者から、被攻撃者のほぼ全員への攻撃はとても成立しやすい状態にあった。
Googleが脆弱性を公表したことでそれがどうなるか。
元々の攻撃者に加え、脆弱性の存在を知らなかった人が攻撃に参加する。
被攻撃者の一部は、アドバイザリーに従って防御体制がとれるようになる。
果たしてどちらが正しいだろうか。
Re: (スコア:0)
防御態勢をとる人よりも攻撃に参加する人の方が多いだろうね。
企業では未だにXPが現役で稼働しているところも結構あるし、
脆弱性が出ようが何しようが動く限り古い言語バージョンや
フレームワーク使い続けるのは珍しくない。
Re: (スコア:0)
ベンダ以外の自主的情報公開網にまでアンテナ張り巡らせてる管理者なんて少数だろ。
攻撃側はそれが仕事だから当然アンテナ張ってるだろうし、攻撃範囲も基本広い。
被害リスクの方が大きいだろうな……
なんとなく、この辺にはアメリカの保険制度反対と似たような無責任な自己責任論があるような気がした。
全部即時公開して行けば全部拾ったやつは安全で、情報全部拾えないなら自己責任的な感じ。
「目の数が十分であれば」ってのもそうだけど、実際の所そういうのは非現実的なわけでして。
Re: (スコア:0)
結果、メーカーから緊急で修正がリリースされたんだから、
既に攻撃されていたユーザにとっては良いことなんじゃない?
Re: (スコア:0)
ほとんどのシステム管理者にとって対策とはパッチをあてる事。
OSなりアプリケーションなりのアップデートが来ない限り、脆弱性が公開されても打つ手なし、
と考える輩が大半。