アカウント名:
パスワード:
わざわざ誤解しやすいようにタイトルつけてるの?
このままでは「他人のアカウントに影響を与える脆弱性」の検証を行わないように要請したと読めますね。
実際には、検証を行うときは他人のアカウントに影響を与えないように要請したというごく当たり前の話。
当たり前に思えてしまうんだけど、脆弱性なんだから何が起こるかわからんのに、他人のアカウントに影響を与えないって難しいぞ。
「他人に迷惑を掛けるな」並みの無理ゲー感
・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
「他人」!=「協力者」
要は善管注意義務を果たせって話でしょまともなセキュリティ研究者は一般ユーザを巻き込んでバグを確認なんかしない
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~こっちの方がやべー
普通だよ攻撃が確認されてない限りは非公開で通知対応期間を区切ってそれでも対応されなければ公開が基本
都合の良い場所だけ読むなよ俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。って書いてあんだろなんでお前は文章を読めないでタイトルしかよまないんだ
ちゃんと日本語理解して。わからないならちゃんと日本語勉強して。とても恥ずかしいから。
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ何が疑問なんだ?
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもねメモリに収まらないとか、必要なハードウェア支援がなかったりして
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えるとそれでも、推定としか書いてない。また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
そんなん当たり前ですがな。悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
発見者の落ち度で悪用されたのにLINEに責任を押し付けるってすごいな
>詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。>本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
LINE側の発表でも推定でまだ確定してない。LINE側の発表だからLINE側にいいいように解釈するのが普通、それでも確定できてない。この段階で、LINE不具合なのに、発見者に責任を押し付けるのって、すごいな。まあ、LINEの不具合の責任はなくなるわけではない。
脆弱性を漏らしたのは発見者の落ち度だということにはまったく変わりはないな
すまん、アホな俺に何を何と誤解したのか教えてくれ。
「脆弱性の検証を行わないよう要請」したように読めました。本文を読んでみると「他人のアカウントをに影響を与えることのないよう検証を行ってください」と書いてある。わざわざ「行わないよう」と言い換えてあるあたりに悪意があるな、と。
確かにちょっとわかりにくいかもしれないけど、わかりにくいだけで悪意とかいうレベルではないと思うよ
実際、私は誤読しなかったので
> 「他人のアカウントに影響を与える脆弱性」の検証を行わないようセキュリティ研究者へ要請実質的に脆弱性を検証すんじゃねー宣言と同じ
> 他人のアカウントに影響を与える(方法での)脆弱性の検証を行わないようセキュリティ研究者へ要請やっても良いけど他人に影響与えんじゃねーってだけ
俺も初めは前者かと思った後者ならニュースにならん、当たり前だもの
タレコミ時からこのタイトルだったので気付いたときにコメント付ければストーリー採用時に直してくれるんかね「LINE、脆弱性の検証で他人のアカウントに影響を与えないようセキュリティ研究者へ要請」にすべきだったと思う
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
悪意のあるタイトルだな (スコア:0)
わざわざ誤解しやすいようにタイトルつけてるの?
Re:悪意のあるタイトルだな (スコア:2, すばらしい洞察)
このままでは「他人のアカウントに影響を与える脆弱性」の検証を行わないように要請したと読めますね。
実際には、検証を行うときは他人のアカウントに影響を与えないように要請したというごく当たり前の話。
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:悪意のあるタイトルだな (スコア:1)
当たり前に思えてしまうんだけど、
脆弱性なんだから何が起こるかわからんのに、他人のアカウントに影響を与えないって難しいぞ。
Re: (スコア:0)
「他人に迷惑を掛けるな」並みの無理ゲー感
Re: (スコア:0)
・脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。
・当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。
「他人」!=「協力者」
Re: (スコア:0)
要は善管注意義務を果たせって話でしょ
まともなセキュリティ研究者は一般ユーザを巻き込んでバグを確認なんかしない
Re: (スコア:0)
> 当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり~
こっちの方がやべー
Re:悪意のあるタイトルだな (スコア:1)
普通だよ
攻撃が確認されてない限りは非公開で通知
対応期間を区切ってそれでも対応されなければ公開が基本
Re: (スコア:0)
都合の良い場所だけ読むなよ
俺もLINEは嫌いだし使ってねぇけどそれは違う
> 今回の場合は発見者のミスによりこの脆弱性が悪用された模様。
> 経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。
って書いてあんだろ
なんでお前は文章を読めないでタイトルしかよまないんだ
Re: (スコア:0, フレームのもと)
ちゃんと日本語理解して。
わからないならちゃんと日本語勉強して。
とても恥ずかしいから。
Re: (スコア:0)
修正内容によって対応に必要な期間は変わるので脆弱性を確認後、発見者に「○日以内に対応する予定なのでそれまで公開は控えてくれ」と連絡するのも一般的。
脆弱性の内容もわからないうちから対応期間を決められるとでも思ってんの?
Re: (スコア:0)
対応「期間」なんだから対応が完了するか期日が来るまでに決まってんだろ
何が疑問なんだ?
Re: (スコア:0)
だから、発見者が通知しながら検証のためにまたやって漏れてばれたんだっていってんの
Re: (スコア:0)
時間的な状態や登場人物が複数絡むと、本当に理解ができないって人なのかもね
メモリに収まらないとか、必要なハードウェア支援がなかったりして
Re: (スコア:0)
LINE側の発表だとLINE側に有利になることは、全部書くはずと考えると
それでも、推定としか書いてない。
また、悪用した人が、発見者の検証時の他人のアカウントやIP等紐づくものの発表もない。
Re: (スコア:0)
そんなん当たり前ですがな。
悪用者が得た脆弱性の出どころを知るのは、基本的に悪用者本人だけなんだから。
それでも、無関係の一般ユーザーを巻き込んで検証を行った発見者の愚行は容認されるものじゃないし、
脆弱性再現方法がその検証で暴露されてしまった事実は覆らない。
Re: (スコア:0)
発見者の落ち度で悪用されたのにLINEに責任を押し付けるってすごいな
Re: (スコア:0)
>詳細な経緯は、現在調査中の部分も含みますが、報告者による本件不具合の検証行為の過程で、脆弱性の再現方法が複数のLINE利用者に発見され、11月2日の大規模な悪用につながったものと当社では推定しております。
>本件において、Bug Bounty Program の報告者と、悪質な迷惑行為を行った利用者との間では、直接的な実証コードの共有や、教唆行為などは行われていないものと現時点では認識しております。
LINE側の発表でも推定でまだ確定してない。LINE側の発表だからLINE側にいいいように解釈するのが普通、それでも確定できてない。
この段階で、LINE不具合なのに、発見者に責任を押し付けるのって、すごいな。
まあ、LINEの不具合の責任はなくなるわけではない。
Re: (スコア:0)
脆弱性を漏らしたのは発見者の落ち度だということにはまったく変わりはないな
Re: (スコア:0)
すまん、アホな俺に何を何と誤解したのか教えてくれ。
Re:悪意のあるタイトルだな (スコア:4, すばらしい洞察)
「脆弱性の検証を行わないよう要請」したように読めました。
本文を読んでみると「他人のアカウントをに影響を与えることのないよう検証を行ってください」と書いてある。
わざわざ「行わないよう」と言い換えてあるあたりに悪意があるな、と。
Re: (スコア:0)
確かにちょっとわかりにくいかもしれないけど、わかりにくいだけで悪意とかいうレベルではないと思うよ
実際、私は誤読しなかったので
Re:悪意のあるタイトルだな (スコア:1)
> 「他人のアカウントに影響を与える脆弱性」の検証を行わないようセキュリティ研究者へ要請
実質的に脆弱性を検証すんじゃねー宣言と同じ
> 他人のアカウントに影響を与える(方法での)脆弱性の検証を行わないようセキュリティ研究者へ要請
やっても良いけど他人に影響与えんじゃねーってだけ
俺も初めは前者かと思った
後者ならニュースにならん、当たり前だもの
Re: (スコア:0)
タレコミ時からこのタイトルだったので気付いたときにコメント付ければストーリー採用時に直してくれるんかね
「LINE、脆弱性の検証で他人のアカウントに影響を与えないようセキュリティ研究者へ要請」にすべきだったと思う