アカウント名:
パスワード:
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。
閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。
脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。
少し公開を延期するシステムは必要だと思うんだよね。
「少し」の定義を教えてください。120日待ってるけどまだ足りない?ユーザー保護を優先させるなら絶対間に合いますよね。修正の優先度がおかしかったとしか思えない。
いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……
# ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし
いくら膨大なOSに絡むような物でも「本気」で取り組めば120日もかかるはずはないよ。MSはその辺の中小企業じゃないんだから。潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。ようは、そう使ってないってだけのこと。つまりはその程度の脆弱性って事。本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。それこそ互換性なんて気にせずにな。
人月の神話とか読んだ方が良いのではないでしょうか人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型
働いたことない人の拙い批判なんで勘弁してやってください
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
脆弱性をわざわざ公開するやり方って (スコア:0)
いくらベンダーが無視できるリスクと判断したとはいえ、ゼロデイ脆弱性を生み出すことになりかねないと思うのですが、こういうのを見つけ出す人にとっては、誰かがひどい目に遭うリスクよりも功名心のほうが上なんでしょうか…。
Re: (スコア:0)
脆弱性が一定の猶予期間の後に公表される仕組みが無い場合、公にバレるまで修正しなくても良いと言う事になってしまうので潜在的なリスクが高まります。
脆弱性が公にならなくても闇市場で未公開の脆弱性情報が取引される可能性があり、サイバーテロ、あるいはサイバー戦争の温床になりますので脆弱性は速やかに修正され、公表される事が望ましいのです。
Re: (スコア:0)
閾値というか「やるやる詐欺」の問題もあるから難しいけど、「開発元が修正しようとしてるけど、影響調査やパッチ配布のサイクルに間に合わない」場合は、少し公開を延期するシステムは必要だと思うんだよね。
脆弱性の対策はユーザー保護のためなんだから、ユーザーを危険に晒すやり方は最小限になるよう配慮されるべきだと思う。
Re: (スコア:0)
少し公開を延期するシステムは必要だと思うんだよね。
「少し」の定義を教えてください。120日待ってるけどまだ足りない?
ユーザー保護を優先させるなら絶対間に合いますよね。
修正の優先度がおかしかったとしか思えない。
Re: (スコア:0)
いや、MicrosoftのJetなんて、もう20年以上前にルーツができて、広範囲で使われてる技術だから。
影響範囲の調査や、後方互換への検証を考えたら、120日はかなり厳しいでしょ……
# ユーザー保護と気楽に言うが、修正で不具合や互換性問題が出たら結局困るのはユーザーだし
Re: (スコア:0)
いくら膨大なOSに絡むような物でも
「本気」で取り組めば120日もかかるはずはないよ。
MSはその辺の中小企業じゃないんだから。
潤沢な資金と優秀な技術者を湯水の如く使えばすぐに終わる。
ようは、そう使ってないってだけのこと。
つまりはその程度の脆弱性って事。
本当に全世界クラスのやばい脆弱性なら本気で取り組むさ。
それこそ互換性なんて気にせずにな。
Re: (スコア:1)
人月の神話とか読んだ方が良いのではないでしょうか
人を増やせばなんでも解決できると考えるのはだめなマネージャーの典型
Re:脆弱性をわざわざ公開するやり方って (スコア:0)
働いたことない人の拙い批判なんで勘弁してやってください
Re:脆弱性をわざわざ公開するやり方って (スコア:1)
「本気」とか「やる気」とかを批判材料にするのは、能力の限界、資源制約という概念で物事を評価しない人なだけかと。
政治家だって、数字を駆使して計算し、計画を立てている様には見えないこともあるわけだし。
働いている人でも、本気、やる気を語る人は、広告塔には使えても、管理には使えないし、任せてはいけないと思うわけで。
(日本軍と同様の結果になってしまう。やる気があれば飲まず食わずで戦える。何そのやる気補正、という妄想設定。多分、漫画と現実の境界がおかしくなったんだろうね。まあ、多少経験があるから分かる。思考のベースが漫画的になるといえば分かりやすいかな。あるいは、人物評価の基準がマナーに偏るとか。)
多分、ここいらの住人は、「マナー」「態度」「やる気」で批判され、「リソース」で批判返しすることが日常なんでしょう。それでも出世するのがやる気派で苦労しているんだろう。