パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ワームのコードを公開するな」これって正論?」記事へのコメント

  • by k3c (4386) on 2001年10月19日 3時35分 (#30627) ホームページ 日記
    ベンダーがセキュリティ情報を公開する側に対して、クラッカーを助長するような情報の公開を控えるように要請するのは、セキュリティ問題に対応する姿勢の一部として間違ってはいないと思います。
    ソフトウェアのベンダー(この場合はマイクロソフト)にソフトウェアのバグ修正を求めるのであれば、世の中に不具合の概要を公開し、ベンダーにはexploitなコードを送って対応を求めれば、それで十分な圧力になると思います。ベンダーが対応しなければ、「この製品にはこんな問題があるのにベンダーは対応しようとしない」と声高に主張すればいい。
    私たちの多くは具体的なexploitコードを知らなくても、セキュリティ問題に対するマイクロソフト社の対応に不満を持っていたし、クラッカーによる具体的な被害がなくてもセキュリティパッチは公開されているし、セキュリティ情報はかなり検索しやすくなったし、そんなこんなでマイクロソフト社のセキュリティ問題に対する対応は随分改善されてきた。そうでしょう?

    逆に、ベンダーに概要を説明して「後は自分たちのソースを見て不具合箇所を見つけ出して直してくれ」と更なる努力を要求し、世の中にはコピー&ペーストで利用できるコードを公開していたのでは、クラッカーを助長していると言われても仕方ないかも。

    製品を買わせておいてあとは知らん振りでは許せない、というのも分かりますが、クラッカーの行為はユーザーを害するものであってexploitコードの公開はそれを助長している、というのもそれはそれで正当な論理のように感じられます。情報を公開する側にもセキュリティ問題の一端を担っているというモラル(and/or責任意識?)が必要だと思います。

    ちょっと乱暴な例ですが、炭そ菌の培養方法をテレビで具体的に報道してしまうと、現状の「偽」炭そ菌情報の一部は本当の炭そ菌被害になってしまうのではないでしょうか?

    余談ですが、セキュリティ情報を公開する側が今回のマイクロソフトの要請にどう対応するかは、公開する側の判断に委ねられるべきだと思います。公開する側、される側、両者がナアナアではない独立した立場を保持することは重要だと思うので。

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...