アカウント名:
パスワード:
「誰もが問題点を再現検証できるようにして、その製品の使用中止を勧告する」 がもっとも有効な対策だと思いますがいかがですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
Re:予防法 (スコア:1)
使用中止を勧告されても使用中止できない人はどうなりますか?「OSに穴があるからそのOSを使わないように」と勧告されても、とっさに他のOSを使える人はいいですがそうじゃない人はexploitコードの公開によってPCを使えなくなってしまいますよね。それにそのOSのユーザー全員がその勧告を速やかに知ることができる環境にいられるわけではないですよね。
exploitコードを公開しておいて、それを流用したクラックが発生した場合に被害者に対して「我々の勧告に従わなかったからだ」と言うのは、ピッキングの方法を公開して鍵の交換を促し、鍵を交換せずに泥棒の被害を受けた人に「鍵を交換しなかったからだ」と言うのと同じくらい横暴だと思うのですが。それともピッキング被害に遭うような鍵を作った業者が悪いのでしょうか?
# 乱暴な喩えだというツッコミは却下。どっちも個人の財産権がかかっているという点では同じです。
高木浩光氏他の論文、クロスサイトスクリプティング攻撃に対する電子商取引サイトの脆弱さの実態とその対策のように、脆弱性とそれによってもたらされる危険を明らかにし、開発者とユーザーの両方を啓蒙するやり方はあるはずです。脆弱性とそれを突くコードだけを公開してあとは(情報収集のコストも含めて)ベンダーの信用問題とユーザーの自己責任に転嫁するという姿勢は、いちユーザーのワタシとしては身勝手に感じられてなりません。