アカウント名:
パスワード:
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
...you were impatient, I guess. But the explanation is simple. Our users access that link from these pages: (略) which inform him
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか? 今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
「時限を切ってそれを過ぎたら公表する」
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。 実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
「時限を切ってそれを過ぎたら公表する」 そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。 まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
個人的な金銭目的の恐喝で
ほんとうに「やってる事は一緒」だというのなら、警察に相談するのがよろしいのでしょうね。
いよいよ総会屋じみて来ましたね。 総会屋が何で金取れるか知ってますか? 企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。 プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。 警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
では、「どう
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか? 商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
注意はよく読みましょう部門? (スコア:3, 参考になる)
ところで、「注意はよく読みましょう部門」とのことですが、その「注意」というのは、「全く安全ではないですが,とても便利です」のことでしょうか?
タレコミにも書きましたが、BUGTRAQで報告されたときの、slashcodeのメンテナの第一声は、「きちんと警告している」という弁明でした。原文 [securityfocus.com] では、
Re:注意はよく読みましょう部門? (スコア:3, 参考になる)
一般に、脆弱性の指摘を受けたときは、問題ないとする反論をまず考えようとするのではなく(ついそうしてしまうのはわかる
Re:注意はよく読みましょう部門? (スコア:-1, フレームのもと)
それとも仮名で叩くのがAISTの仕事か?
そもそもあんたらセキュリティゴロが些細な問題でこっぴどく叩きまくるから、とりあえず防衛本能として「問題ない」と言ってしまうんじゃないか?
今回の件も「パスワードが漏れる」じゃなくて、「誤入力した(ログインできない)パスワードのMD5値が漏れる」だろ?針小棒大に騒ぎすぎだよ。それともMD5値から元のパスワードを復元する方法でも見つけたの?それは素晴らしい!!
問題を見つけても、鬼の首を取ったように騒ぎ立てるんじゃなくて、メンテナが対処を取りやすいように、外部の騒
私刑、ですか…… (スコア:1)
そうでもしないといくら待っても直さない輩があまりにも多い、ことは米国 CERT/CC の歴史が証明していると認識しています。 CERT/CC ですら、今では 45 日しか待ちません。
実際に、「公表する」というカードを切らないと担当者からの response が得られなかった、という経験が私自身にもあります。
Re:私刑、ですか…… (スコア:0)
期限を切らないと対応しない人が少なからずいるというのは同意しますが、少なからずいるからと言って最初から初めてアクセスする人/組織や、修正に係る工数などにも関わらず「○○日までに直せ。直さないとバラすぞ」ってのは総会屋がやってる恐喝と変わんないでしょ。
まぁ、個人的な金銭目的の恐喝ではないんだろうから(中には自社や関連会社のセ
Re:私刑、ですか…… (スコア:1)
にもかかわらず問題発見者がソフトの作者に「事前に通知する」のは、単にそのソフト自体のセキュリティだけでなく、そのソフトの利用者のセキュリティをも考慮しているからに他なりません。 そして「時限を設定」することにより、修正を強く促すわけです。
もちろん、たいていのソフトには「無保証」と書いてあるので、ソフトの作者は修正する「義務」はありません。 ソフトの作者は修正しない権利を持っています。
Re:私刑、ですか…… (スコア:0)
いよいよ総会屋じみて来ましたね。
総会屋が何で金取れるか知ってますか?
企業の弱みを握って、たとえ脅されても警察へ訴えられないから金が取れるんですよ。
プログラマにしても「セキュリティホール」という弱みを握られてるんだから警察なんかに訴え出られる訳が無いじゃないですか。
警察なんかに訴えたら、たとえその指摘が恐喝であれ何であれ、「セキュリティーホールを指摘されて逆ギレして警察へ訴えた」と世間の物笑いのタネにしかなりません。
Re:私刑、ですか…… (スコア:1)
> 「とりあえず防衛しよう」と考えるのは罪な事ですか?
即座に対策をとらないことは「防衛」じゃなくて攻撃の続行なんですが、わかりませんか?それともわざとわからないフリをしてるのですか?
> プライドだけを糧にしているフリーソフトプログラマのプライドに付けられた傷は癒す方法がありません。
何をプライドにすべきかを完全に誤っているからそんな訳のわからないことを言うのですね。「人を危険に陥れていること」を黙っていてもらえれば「プライド」ですか。一見動
office
Re:私刑、ですか…… (スコア:0)
仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
商業プログラムのメーカに「バグを発見したから○○円返却せよ」という訴訟を起こしたら、そのメーカは「金を返却する必要がある程の瑕疵は無い」と反訴してくると思いませんか?
Re:私刑、ですか…… (スコア:0)
> 仮にあなたが何か人の迷惑になるような事をして、誰かに諌められたとしたら謝りますよね。でも相手が包丁振りかざして来たら謝るより先に逃げませんか?
逃げるかもしれませんがせめて逃げた後に「何故包丁をつきつけられたのか?」くらいは考えると思います。
もし、つきつけられた瞬間に覚えがあったらその場で謝罪します。
果たしてその行為が包丁をつきつけられるほどであるのか?という議論については無駄だと思います。
ユーザーが皆同じ考え方をしているのであればサポートの必要はありませんから。
> しかし、「セキュリティ専門家」がコントロールを奪って公表しなくても、プログラマが公表すれば、あなた方「セキュリティ専門家」の言う「ユーザの保護」は成されるのではありませんか?
私は自分の利用してるアプリケーションに危険が存在した場合、製作者に連絡してます。
それに対してバグフィクスを出しても、他の機能付加とかについて説明はしてもその危険について公表しないプログラマも非常に多いです。
「バグフィクスさえ出ればいいじゃないか?」と言われるかもしれませんが、そのまま利用することの危険度を知らなければバージョンアップしないユーザーも多いはずです。
バージョンアップしないと危険だと公表しても修正の煩わしさから修正しないユーザーも存在するのですから。
> やっぱり「謝罪」を要求する「セキュリティ専門家」はいるみたいですね。
ユーザーに対する謝罪は当然のことだと思いますが違うのでしょうか?
officeが言ってるのは「報告者の自分に謝罪しろ」ということではなく、危険を知らずに利用したユーザーに対してという意味ですよね?
> 「セキュリティ専門家」の「コミュニケーション能力の欠落」
私はむしろ製作者の責任感の無さのほうが問題だと思います。