アカウント名:
パスワード:
Microsoft はその通達を受けてから 3 ヵ月以上放置し、Bagtraq などで騒がれてようやく重い腰を上げ、しかし、それでも最初の通達から半年以上経ってからようやくパッチを出した、という過去の経歴があった記憶があります。
Apache などであれば危険なコードを公開せずとも、それを修正する参考 patch を送りつけるなどしてやれば迅速に修正されますし、他のメーカでもこれほど放置することはなかなか考えられません。
同じソース非公開物でも、シェアウェアなどの場合には現象が確認できてから数日中には大体修正版も出ます。規模が違うのはわかっていますが。
たとえ穴を突くコードを、ソースを開示せずバイナリだけで確認できるようにしても、通信が発生するなら tcpdump などで見てしまえば無意味ですし、スクリプト系の欠陥に至っては実行されるコード自体がテキストになってしまいますので誰でも読めてしまいます。
場合によっては「こんな感じの穴がある」という情報だけでそれなりの技量がある人には大きな手掛かりとなるので、穴の存在自体を広く知らしめる事自体ができなくなり相手に握りつぶされる可能性が高くなります。
どうしても対応してくれない場合の最終手段としては、攻撃方法の開示もやむを得ないという気はしますね。
もちろん、見つけたらいきなり開示というのはさすがに問題があるとは思いますが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
Re:情報を公開する側のモラル (スコア:4, すばらしい洞察)
Microsoft はその通達を受けてから 3 ヵ月以上放置し、Bagtraq などで騒がれてようやく重い腰を上げ、しかし、それでも最初の通達から半年以上経ってからようやくパッチを出した、という過去の経歴があった記憶があります。
Apache などであれば危険なコードを公開せずとも、それを修正する参考 patch を送りつけるなどしてやれば迅速に修正されますし、他のメーカでもこれほど放置することはなかなか考えられません。
同じソース非公開物でも、シェアウェアなどの場合には現象が確認できてから数日中には大体修正版も出ます。規模が違うのはわかっていますが。
たとえ穴を突くコードを、ソースを開示せずバイナリだけで確認できるようにしても、通信が発生するなら tcpdump などで見てしまえば無意味ですし、スクリプト系の欠陥に至っては実行されるコード自体がテキストになってしまいますので誰でも読めてしまいます。
場合によっては「こんな感じの穴がある」という情報だけでそれなりの技量がある人には大きな手掛かりとなるので、穴の存在自体を広く知らしめる事自体ができなくなり相手に握りつぶされる可能性が高くなります。
どうしても対応してくれない場合の最終手段としては、攻撃方法の開示もやむを得ないという気はしますね。
もちろん、見つけたらいきなり開示というのはさすがに問題があるとは思いますが。