アカウント名:
パスワード:
「しかしまだOS/2版が出ていないのでタレコまず」 [srad.jp]
なんつーかせこい。ここで言うのもなんだけど。
Firefox 3.0.11 for OS/2 英語版 [mozilla.org] 12-Jun-2009 20:18 11M
「せこい」と言われるが、タレコミ一本書くのは結構手間。手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)。仮にリモートから攻撃を受けるような重大な脆弱性が見つかっても、実際はブラウザクラッシュさせるだけでそれ以上の成功は望めないものがあったり、すでに脆弱性実証コードが書かれて Bugtracker や milw0rm.org に掲載されているもの、実際にセキュリティ企業により攻撃が確認されているものまで、千差万別。
脆弱性の情報とともに出される「攻撃コードがすでに確認されているか否か」の情報は、受け手の立場で意味が異なります。数あるブラウザからどれを常用するかを検討する場合であれば、ブラウザの危険日 [srad.jp]のようなものも判断材料の一つになるでしょうし、Secuniaのような第三者による情報を継続的に集めることで危険日の割合を把握することもできるでしょう。
一方で、すでに使用中のユーザーが受け取った場合、何より求められるのは速やかな対処(使用範囲の制限・一部機能の停止といった回避策、あるいは当座の代替ブラウザ)です。実際問題としてすべてのユーザーがすんなりと対処するとは限らないので、攻撃コードが確認されている場合にそれを強調することにもそれなりの効果があるとは思いますが、本来攻撃コードの有無を気にしているような場面ではないでしょう。
今回のような、更新適用という新たな対処法がユーザーに提供されたタイミングにしても同じです。更新を適用するにしても、回避策を取りつつ適用しないにしても、その判断材料は(マイナー更新で大きな問題があるとは考えにくいが)互換性問題であって、攻撃コードの有無ではありません。むしろ、修正のリリースが攻撃作成のヒントにもなりえることから、「攻撃は確認されていない」場合でも、その情報の信頼性が下がるタイミングとさえ考えられます。
結局のところ、更新リリース時にその時点だけの「攻撃は確認されていない」にことさら関心を向けるのは、危険な予断を許すことにしかつながりません。それは場面場面で重視すべき情報を取り違えているだけであって、決して「Secunia Advisory と同じ考え方」 [srad.jp]などではないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stay hungry, Stay foolish. -- Steven Paul Jobs
タレコミ主がいつものあの人じゃない件 (スコア:1, おもしろおかしい)
「しかしまだOS/2版が出ていないのでタレコまず」 [srad.jp]
なんつーかせこい。ここで言うのもなんだけど。
Firefox 3.0.11 for OS/2 is out. (スコア:0, オフトピック)
「せこい」と言われるが、タレコミ一本書くのは結構手間。手を抜けば脆弱性の詳細くらいを書いとけよというコメントが飛んでくるし、脆弱性の背景を書いた上で「まだ攻撃されていない」と書けばフレームの元になるし(笑)。仮にリモートから攻撃を受けるような重大な脆弱性が見つかっても、実際はブラウザクラッシュさせるだけでそれ以上の成功は望めないものがあったり、すでに脆弱性実証コードが書かれて Bugtracker や milw0rm.org に掲載されているもの、実際にセキュリティ企業により攻撃が確認されているものまで、千差万別。
更新リリース時の攻撃コードの有無 (スコア:2)
脆弱性の情報とともに出される「攻撃コードがすでに確認されているか否か」の情報は、受け手の立場で意味が異なります。数あるブラウザからどれを常用するかを検討する場合であれば、ブラウザの危険日 [srad.jp]のようなものも判断材料の一つになるでしょうし、Secuniaのような第三者による情報を継続的に集めることで危険日の割合を把握することもできるでしょう。
一方で、すでに使用中のユーザーが受け取った場合、何より求められるのは速やかな対処(使用範囲の制限・一部機能の停止といった回避策、あるいは当座の代替ブラウザ)です。実際問題としてすべてのユーザーがすんなりと対処するとは限らないので、攻撃コードが確認されている場合にそれを強調することにもそれなりの効果があるとは思いますが、本来攻撃コードの有無を気にしているような場面ではないでしょう。
今回のような、更新適用という新たな対処法がユーザーに提供されたタイミングにしても同じです。更新を適用するにしても、回避策を取りつつ適用しないにしても、その判断材料は(マイナー更新で大きな問題があるとは考えにくいが)互換性問題であって、攻撃コードの有無ではありません。むしろ、修正のリリースが攻撃作成のヒントにもなりえることから、「攻撃は確認されていない」場合でも、その情報の信頼性が下がるタイミングとさえ考えられます。
結局のところ、更新リリース時にその時点だけの「攻撃は確認されていない」にことさら関心を向けるのは、危険な予断を許すことにしかつながりません。それは場面場面で重視すべき情報を取り違えているだけであって、決して「Secunia Advisory と同じ考え方」 [srad.jp]などではないと思います。