アカウント名:
パスワード:
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的なルールとして設定できないのではないかと思います.
ただ, ここで重要だと思うのは問題の対処がcloseされた段階で, それぞれの段階に実績としてどれだけの時間がかかったかということを公開することを義務づけることでしょう. それによってユーザは製品およびサポート組織の品質・信頼性を定量的に判断できるようになるわけですから.
対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
いった場合も考えると、脆弱性発見者が期限付きで管理者のみに
告知し、期間を過ぎたら公開という対応は問題があるのではないでしょうか?
やはり脆弱性情報は対象企業・団体と調整の上で公開すべきでは?
今回を例にすれば少なくともMicrosoftは脆弱性の修正を行って
いるので怠慢とは思えないですし。
コンポーネントの場所によって判断は変わるという指摘も
全くその通りとは思いますが。
Re:期限つきFull Disclosureは危険なのか? (スコア:2, 興味深い)
期限は、対策までの期限でもあるけど、
返事をもらうまでの期限でもありますよね。
「問題点は確認できた。修正には時間がかかるからしばらく待ってくれ。」
という返事がくれば、第1段階はクリアですよね。
Re:期限つきFull Disclosureは危険なのか? (スコア:3, すばらしい洞察)
期限として設定できるポイントは3つあると思います. まず初期地点として問題が報告されたタイミングから
現象の確認および原因を確定する段階
修正点(それによる副作用を含む), あるいは回避方法を確定する段階
修正を行う場合に修正版が公開される段階
のそれぞれの段階について, 次の段階が何時ぐらいになるのかを報告者に返答する義務があるのでは無いでしょうか? これ以上は一般的なルールとして設定できないのではないかと思います.
ただ, ここで重要だと思うのは問題の対処がcloseされた段階で, それぞれの段階に実績としてどれだけの時間がかかったかということを公開することを義務づけることでしょう. それによってユーザは製品およびサポート組織の品質・信頼性を定量的に判断できるようになるわけですから.
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
5W2Hがきちんとしていて、ちゃんと日本語になっている報告を。
Q&AサイトでAを良く付ける側の方なら身に染みているでしょうが、
きちんとした説明ができているQが如何に多くないか、という現実を
無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
返答したくても「その報告で何をしろ?と」と思う報告は
多いんじゃないかな?と思いますし。
#下手に問い直すと切れる報告者もいるからなぁ。立場が変わっても
#所詮は人間の度量次第ということでしょうが。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
5W2H(=問題点の切り分け)なんてのは、本来はfixする側の仕事でしょう。
事前にわかってれば助かるというのは十分理解できますが。
>無視してサイト側だけの義務を重くするのはバランスが悪いと思う。
と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
報告者はそれに協力してるだけですよ。
別に問題点を報告する義務なんてないのに。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
> と言いますが、サイトの安全性を確保するのは、サイト側の義務でしょう。
> 報告者はそれに協力してるだけですよ。
> 別に問題点を報告する義務なんてないのに。
対応期限つきDisclosureを報告者に認めるのであれば、対応可能な報告であることを義務づける必要がありますよね。
実質的に「このOSのどこかに脆弱性がある」と言っているのと変わらない情報しかなかったとすれば、期限を切られても対応できないでしょう。
あれ、そんな情報、discloseされても誰も困らないか。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
そういうのに限って晒す情報はこと細かく書いてあったり。(嫌
気分次第ってのは始末に悪い、というケースはサポ担当なら
経験多いことだと思う。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
なんだか、お役所みたいなことになりそうな予感。
「あ、ここの項目間違えてますよ。書き直して下さい。」
とか。
#そして対応が遅れる、と。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
エスペラント語とかで脆弱性の報告をもらっても対応に困るし。
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
これをいっちゃあお終いだと思うけど。
これへの返しは、サイトは返答義務が無くなるということです。
返答を義務づけるのなら、それ相応の報告をせよというだけのこと。
意味不明だったり非現実的な報告され
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
「もっと詳しく教えてくんない?」ってメールを返すのじゃだめ?
お互いに義務は無いかもしれないけど、良いサイクルに持っていくには
サイト側が歩み寄った方が良いと思いますよ。大した手間じゃなければですが。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
だめ。
最初の報告が手抜きなお方は、その後も建設的な話し合いが
できる可能性はかなり低いので。
聞く耳持たない、日本語が通じない、を実感できますね。
#実感したくはないが。(嫌
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
が、しかし5W1Hが欠けていたら、相手に伝わらない(伝わりにくい)わけで。
それではいったい何のためにわざわざ報告するのかと。
# あーそうか、5W2Hだからセキュリティゴロか(違
Re:期限つきFull Disclosureは危険なのか? (スコア:1, すばらしい洞察)
往々にしてあるのですよね。それを発見者側が分かってくれないと
問題だとは思う。プログラム作る側としてはデバッグ経験が無い
発見者は認めたくないという気持ちになるのはそんな時。
「そんなに言うならここに来てデバッグしてみやがれ!」と。
#一見簡単そうに見えても根が深いというのは往々にしてあるし。
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
見つけてくれたのはありがたいと思います。
伝え方が頭に来ることはありますけど・・・(^^;
投げ深い問題を相手に理解できるように
説明するのは頭が痛いですが・・・
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
>投げ深い問題を相手に理解できるよう
「投げ深い」という表現は初めて見たのですが、どのような意味でしょうか?
Re:期限つきFull Disclosureは危険なのか? (スコア:1)
Re:期限つきFull Disclosureは危険なのか? (スコア:0)
なるほど、「nage」と「nega」かぁ。
元コメントを投稿する前にtypoをいろいろ考えてみたんだけど、
当てはまりそうなのが思い浮かばなかったんです(僕はカナ入力)。
Re:期限つきFull Disclosureは危険なのか? (スコア:1, 興味深い)
セキュリティホールを指摘された各社は、
被害が現実に発生するまでパッチを出さなくなる
(場合によっては、被害がでるまで開発しなくなる)
という可能性は十分に考えれられる問題であるかと。