アカウント名:
パスワード:
この人はいったいどういう立場で1.セキュリティの専門家(公的機関に勤めている)2.市中のちょっとセキュリティに詳しい一般人3.市中のちょっとセキュリティに詳しい暇人
自分の時間を使ってこんな風に電凸やっているのなら3にしかならないわけだが。1なら文書で問い合わせる?べきかなと思う。しかも、こうやってやり取りを公開しているのは穴を公開しているに等しいしやっていること(市井のセキュリティホールに警鐘)は良いと思うがもっとやり方があるんじゃないかと思う。(足元を掬われないように)老婆じゃないけど心配してるよ。
高名な方なのでちょっと調べればすぐわかると思いますけど1. ですよ
穴を公開しているという点は同感ですねもともと公知のことだとしても高名な氏が攻撃可能な脆弱性だという指摘を公開することによって未対応の脆弱性をより広く知らしめ攻撃リスクを増大させる結果になっていますね
攻撃可能な脆弱性情報の取り扱いについて発見者のモラルにまかされている現状に問題があるのかもしれません
何らかの規制が必要だと思いますね
ソフトウェア開発の場合だと、オープンソースでもプロプライエタリでも、セキュリティ脆弱性を調査する第三者はたくさんいて、脆弱性が発見されて実証コードも公開されるなんてことはむしろ正常なことですし、脆弱性の指摘に対して(影響の大きい脆弱性ならば特に)応急対処のアドバイザリを出したりセキュリティフィックスが行われたりといったところまで含めて、セキュリティ脆弱性に対処するシステムというか対策モデルというか、そういうのがある意味確立されていますよね。
いっぽう、本件のような企業サービスにおけるセキュリティ脆弱性への対応は、構図としてはソフトウェア開発の場合と似たようなものであるにもかかわらず、指摘を吸い上げるシステムも不完全だし、得た情報をもとに対策を打ち出す部分での繋がりも悪いし、何よりサービスの提供者にも一般ユーザ自身にもセキュリティ対策の必要性の認識そのものが殆ど無いなど、脆弱性に対応するシステムがまわるどころか、巨大な障壁だらけでシステムの確立自体が遠いにも拘らず、「黙殺=対応した」のような悪習が出来上がってしまっている、ということになるでしょうか。
といったところで高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと。本来ならそういう対策を担うのは消費者庁とかの領分であるべきなのかもしれないですが。
>高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと検出した未対策の脆弱性をインターネットで大々的に宣伝するセキュリティソフトはセキュリティ上の脅威でしかないねセキュリティ専門家なのに攻撃リスクの増大に荷担するとか感覚がおかしいとしか言いようがない
専門家自身での自制が無理なら規制に頼るしかないだろうね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
いつも思うんだが。 (スコア:1)
この人はいったいどういう立場で
1.セキュリティの専門家(公的機関に勤めている)
2.市中のちょっとセキュリティに詳しい一般人
3.市中のちょっとセキュリティに詳しい暇人
自分の時間を使ってこんな風に電凸やっているのなら3にしかならないわけだが。
1なら文書で問い合わせる?べきかなと思う。
しかも、こうやってやり取りを公開しているのは穴を公開しているに等しいし
やっていること(市井のセキュリティホールに警鐘)は良いと思うが
もっとやり方があるんじゃないかと思う。
(足元を掬われないように)老婆じゃないけど心配してるよ。
Re: (スコア:0)
高名な方なのでちょっと調べればすぐわかると思いますけど
1. ですよ
穴を公開しているという点は同感ですね
もともと公知のことだとしても
高名な氏が攻撃可能な脆弱性だという指摘を公開することによって
未対応の脆弱性をより広く知らしめ攻撃リスクを増大させる結果になっていますね
攻撃可能な脆弱性情報の取り扱いについて発見者のモラルにまかされている現状
に問題があるのかもしれません
何らかの規制が必要だと思いますね
Re:いつも思うんだが。 (スコア:0)
ソフトウェア開発の場合だと、オープンソースでもプロプライエタリでも、セキュリティ脆弱性を調査する第三者はたくさんいて、脆弱性が発見されて実証コードも公開されるなんてことはむしろ正常なことですし、脆弱性の指摘に対して(影響の大きい脆弱性ならば特に)応急対処のアドバイザリを出したりセキュリティフィックスが行われたりといったところまで含めて、セキュリティ脆弱性に対処するシステムというか対策モデルというか、そういうのがある意味確立されていますよね。
いっぽう、本件のような企業サービスにおけるセキュリティ脆弱性への対応は、構図としてはソフトウェア開発の場合と似たようなものであるにもかかわらず、指摘を吸い上げるシステムも不完全だし、得た情報をもとに対策を打ち出す部分での繋がりも悪いし、何よりサービスの提供者にも一般ユーザ自身にもセキュリティ対策の必要性の認識そのものが殆ど無いなど、脆弱性に対応するシステムがまわるどころか、巨大な障壁だらけでシステムの確立自体が遠いにも拘らず、「黙殺=対応した」のような悪習が出来上がってしまっている、ということになるでしょうか。
といったところで高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと。本来ならそういう対策を担うのは消費者庁とかの領分であるべきなのかもしれないですが。
Re: (スコア:0)
>高木氏の立ち位置や行動を考えると「セキュリティ対策ソフトウェア」的な部分も担ってるってことなんじゃないかと
検出した未対策の脆弱性をインターネットで大々的に宣伝するセキュリティソフトは
セキュリティ上の脅威でしかないね
セキュリティ専門家なのに攻撃リスクの増大に荷担するとか
感覚がおかしいとしか言いようがない
専門家自身での自制が無理なら規制に頼るしかないだろうね