It is my experience that reporting and discussing security problems with
Microsoft is a needlessly lengthy process that puts too much burden and
effort on the researcher's end, especially if you just have a crash
case, not a working exploit; hence, they did not get an advance notice.
発見者の態度 (スコア:4, 参考になる)
「ちょっと実験してクラッシュを発見しただけだから、詳しく調べればもっとあるかもよ」
「でも、マイクロソフトと連絡をとるのは、やたら時間がかかるからね。
クラッシュだけで、明白なエクスプロイトがない場合は特に。」
と書いてあるので、IE ユーザはかなり危険な状態にあり
Re:発見者の態度 (スコア:1)
で、この人はバグを周知しようとしてくれる人なわけで、どちらかというと善意の人。
「マイクロソフトと連絡をとるのは、やたら時間がかかるからね。」と思わせてしまったマイクロソフトの体制に問題があるんじゃないかなぁ。
Re:発見者の態度 (スコア:3, すばらしい洞察)
Re:発見者の態度 (スコア:0)
かなり惜しんでます。
Microsoft の中の人 (スコア:3, 参考になる)
「明らかに脆弱性でないような馬鹿げた報告であっても、標準的なプロセスに従って本社へ報告する」
という対応をしているそうです。できる限りの努力をしていると思います。
Re:Microsoft の中の人 (スコア:1)
「標準的なプロセス」の妥当性を議論しないと意味が無いと思いませんか。
実際、そのプロセスを経験した人間が、今回はそれを選択しなかったわけですから。
# 「最高のセキュリティ」なんていうのも同類かなぁ。
Re:Microsoft の中の人 (スコア:1)
確かに。最初からマイクロソフトの側で
もっと迅速に対処してくれれば問題なかったんですから
マイクロソフトに改善点はあるかもしれませんね。
http://www.eeye.com/html/research/upcoming/20050329.html
のように、何ヶ月も経ってるのに修正されない問題なんかだと、
報告者が事情を知らされずにただ待つのは大変だと思います。
今回の発見者がそうした点に警鐘を鳴らすつもりで
いきなり公表したのだとしたら、ぜひ成果を上げてほしいものですね。
Re:Microsoft の中の人 (スコア:0)
Re:Microsoft の中の人 (スコア:0)
IE の中止ボタンがしいたけに見えて困る [w3j.org]
Re:発見者の態度 (スコア:0)
例えばslashcodeに脆弱性があって、こうしたらお前さんが設定してるアカウントのパスワードとかアクセス履歴とか取れちゃうよ、とここでいきなり発表したりとかした場合とか。
Re:発見者の態度 (スコア:0)
Firefoxにだって、危険度中以下のセキュリティフィックスをしたバージョンの日本語版が数日間提供されないだけでこの世の終わりのように騒ぎ立ててるユーザさんたち [srad.jp]もいますし。
Re:発見者の態度 (スコア:0)
それだけの問題だと本当に思っているとしたら相当おめでたいですね。
Re:発見者の態度 (スコア:0)
Re:発見者の態度 (スコア:0)
公共機関並に叩かれるのも仕方が無いような気がしますね。
[シェアをもう少し落とせばこんなにいろいろ言われなくて済むのに]
とか言ってみるテスト