アカウント名:
パスワード:
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…「2週間後に公開する」と発表するくらいで良かったんじゃないの。
「あと2週間で90日経過します。そのときは公開します」ってことかと思いましたが。
それって最初から後90日で公開するよってMSに通告していたなら意味なくね?実はMSへの通告がされていなかったのなら話別だけどさ。毎日カウントダウンのように後89日、後88日ってやるの?
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。ちょっとGoogleさん虚栄心が強すぎませんかね…。
四半期相当の猶予期間があって対策できないってのもなあ…。“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?“安全より安心”でいいわけ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
最後通告は出来なかったのか (スコア:0)
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…
「2週間後に公開する」と発表するくらいで良かったんじゃないの。
Re:最後通告は出来なかったのか (スコア:1)
「2週間後に公開する」
とホントの最後通告をするの?
Re: (スコア:0)
「あと2週間で90日経過します。そのときは公開します」ってことかと思いましたが。
Re: (スコア:0)
それって最初から後90日で公開するよってMSに通告していたなら意味なくね?
実はMSへの通告がされていなかったのなら話別だけどさ。
毎日カウントダウンのように後89日、後88日ってやるの?
Re: (スコア:0)
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。
公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。
Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。
ちょっとGoogleさん虚栄心が強すぎませんかね…。
Re: (スコア:0)
四半期相当の猶予期間があって対策できないってのもなあ…。
“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。
逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?
“安全より安心”でいいわけ?
Re: (スコア:0)
ここまでやらなきゃ金輪際MSが修理するつもりがないのか、90日間で治るほど簡単な話ではなかったのかもわからないし。
そもそも、クラッカーがgoogleよりも先に発見済みで、現在使用中かもわからない。
90日という期間が妥当かどうかわからないけど、隠しておけばそれで大丈夫って話ではないのだから、「とりあえず隠しておけばOK」な話じゃないと思うけど。
> 公開したところでユーザが取れる対策があるような脆弱性じゃなし
・現在の端末を他のOSに変更する。
・ぶっこ抜かれたくない情報を扱う端末を別途準備し、他のOSを使う。