アカウント名:
パスワード:
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。
閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。
脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。
少し延期して、結局修正前に開示される事例が出ることに変わりはない。それに脆弱性は製品のリリース時には生まれているわけだから、ブラックマーケットで取引されていれば、少し延ばすことがユーザーを救うとは限らない。
少し公開を延期するシステムは必要だと思うんだよね。
「少し」の定義を教えてください。120日待ってるけどまだ足りない?ユーザー保護を優先させるなら絶対間に合いますよね。修正の優先度がおかしかったとしか思えない。
いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……
# ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし
いくら膨大なOSに絡むような物でも「本気」で取り組めば120日もかかるはずはないよ。MSはその辺の中小企業じゃないんだから。潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。ようは、そう使ってないってだけのこと。つまりはその程度の脆弱性って事。本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。それこそ互換性なんて気にせずにな。
人月の神話とか読んだ方が良いのではないでしょうか人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型
費用対効果も危険性も無視して何でもかんでも本気出すわけはないし。外部の大口ユーザーの利用状況確認なんかもあるから「マイクロソフト側の努力だけでは」どうにもならない部分もあるのに。
具体的な方策もなしに妄想で語っちゃっても説得力ないよ?
>MSはその辺の中小企業じゃないんだから。>潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
なかなかの釣り針ですねぇ 笑さすがに、そんなでかい釣り針にひっかかるやつが・・・
いた・・・
マイクロソフトが費用対効果を鑑みて脆弱性の修正を遅らせたというなら、それは「一ヶ月くらい放置しても問題ない程度の危険性の低い脆弱性だ」と判断したってことでしょ。親コメントと何も矛盾してないじゃないか。どこが妄想なんだい?
働いたことない人の拙い批判なんで勘弁してやってください
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
脆弱性をわざわざ公開するやり方って (スコア:0)
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
Re:脆弱性をわざわざ公開するやり方って (スコア:0)
脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。
脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。
Re: (スコア:0)
閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。
脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。
Re: (スコア:0)
少し延期して、結局修正前に開示される事例が出ることに変わりはない。
それに脆弱性は製品のリリース時には生まれているわけだから、ブラックマーケットで取引されていれば、少し延ばすことがユーザーを救うとは限らない。
Re: (スコア:0)
少し公開を延期するシステムは必要だと思うんだよね。
「少し」の定義を教えてください。120日待ってるけどまだ足りない?
ユーザー保護を優先させるなら絶対間に合いますよね。
修正の優先度がおかしかったとしか思えない。
Re: (スコア:0)
いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。
影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……
# ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし
Re: (スコア:0)
いくら膨大なOSに絡むような物でも
「本気」で取り組めば120日もかかるはずはないよ。
MSはその辺の中小企業じゃないんだから。
潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
ようは、そう使ってないってだけのこと。
つまりはその程度の脆弱性って事。
本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。
それこそ互換性なんて気にせずにな。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
人月の神話とか読んだ方が良いのではないでしょうか
人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型
Re: (スコア:0)
費用対効果も危険性も無視して何でもかんでも本気出すわけはないし。
外部の大口ユーザーの利用状況確認なんかもあるから「マイクロソフト側の努力だけでは」どうにもならない部分もあるのに。
具体的な方策もなしに妄想で語っちゃっても説得力ないよ?
Re: (スコア:0)
>MSはその辺の中小企業じゃないんだから。
>潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
なかなかの釣り針ですねぇ 笑
さすがに、そんなでかい釣り針にひっかかるやつが・・・
いた・・・
Re: (スコア:0)
マイクロソフトが費用対効果を鑑みて脆弱性の修正を遅らせたというなら、それは「一ヶ月くらい放置しても問題ない程度の危険性の低い脆弱性だ」と判断したってことでしょ。親コメントと何も矛盾してないじゃないか。どこが妄想なんだい?
Re: (スコア:0)
投入人員数と生産量が比例するよう環境をコントロールするのがマネージャーの仕事ってことだ
Re: (スコア:0)
働いたことない人の拙い批判なんで勘弁してやってください
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
「本気」とか「やる気」とかを批判材料にするのは、能力の限界、資源制約という概念で物事を評価しない人なだけかと。
政治家だって、数字を駆使して計算し、計画を立てている様には見えないこともあるわけだし。
働いている人でも、本気、やる気を語る人は、広告塔には使えても、管理には使えないし、任せてはいけないと思うわけで。
(日本軍と同様の結果になってしまう。やる気があれば飲まず食わずで戦える。何そのやる気補正、という妄想設定。多分、漫画と現実の境界がおかしくなったんだろうね。まあ、多少経験があるから分かる。思考のベースが漫画的になるといえば分かりやすいかな。あるいは、人物評価の基準がマナーに偏るとか。)
多分、ここいらの住人は、「マナー」「態度」「やる気」で批判され、「リソース」で批判返しすることが日常なんでしょう。それでも出世するのがやる気派で苦労しているんだろう。
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
その「優秀な技術者」を持ってして出来上がったのが、この様でございますなんですよね。(涙)
今風なタイトルにすると
「システム開発の過酷さ現実に咽び泣く優秀な技術者」
「プロジェクト成功で鼻高々な技術者、次期プロジェクトに夢と機能を詰め込み過ぎて息絶える」
「万能ツール・フレームワーク・言語を求めて騙され続ける優秀な技術者、いつになったら広告詐欺に気づく?」