アカウント名:
パスワード:
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…「2週間後に公開する」と発表するくらいで良かったんじゃないの。
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。ちょっとGoogleさん虚栄心が強すぎませんかね…。
四半期相当の猶予期間があって対策できないってのもなあ…。“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?“安全より安心”でいいわけ?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
最後通告は出来なかったのか (スコア:0)
90日待っても修正しなかったMSが悪いのは分かるが、それでもゼロデイ状態で公開するのはね…
「2週間後に公開する」と発表するくらいで良かったんじゃないの。
Re: (スコア:1)
「2週間後に公開する」
とホントの最後通告をするの?
Re: (スコア:0)
そもそも一般公開する必要はないはずです。せいぜい、Microsoftとセキュリティベンダだけに連絡すれば十分だったでしょう。
公開したところでユーザが取れる対策があるような脆弱性じゃなし、わざわざ一般公開してクラッカーに教えてあげる理由はないと思います。
自分の技術的優位性アピールのためかもしれませんが、ユーザーのセキュリティリスクを高めてまでやることではないでしょう。
Microsoftの対応が遅いとしても、実際に被害を受けるのはユーザーです。
ちょっとGoogleさん虚栄心が強すぎませんかね…。
Re:最後通告は出来なかったのか (スコア:0)
四半期相当の猶予期間があって対策できないってのもなあ…。
“発見されたが関係者以外に伏せられた脆弱性”とかもっと怖い。
逆にユーザーの不信感に繋がるだけじゃないかな?
四半期経っても有効な対策が出てこない事の方が“セキュリティリスク”を高めてるんじゃないの?
“安全より安心”でいいわけ?