アカウント名:
パスワード:
「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」運用でカバー! https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp] からの
↓
「対応可能な範囲で改修を検討」
そして↓
岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」 https://twitter.com/ [twitter.com]
最初に防衛省に問い合わせて許可もらってから記事にするでしょこんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。
そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。
問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。
> 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた
ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]
そうですよね
このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますがITシステムセキュリティの観点から見れば信じ難い愚行ですもしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します
そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね
一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。
まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。
対策の必要すらないような問題ならなおさら「なんでバラしたんだ!」って発狂する必要なくね?悪用されると問題のある穴であるということはこの議論の前提になってると思うんだけどw
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
ほんと、この国はナニならまともに作れるんだ (スコア:5, すばらしい洞察)
「東京 ワクチン大規模接種 架空番号で予約可能な状態 改修困難」
運用でカバー!
https://www3.nhk.or.jp/news/html/20210517/k10013036311000.html [nhk.or.jp]
からの
↓
「対応可能な範囲で改修を検討」
そして
↓
岸防衛大臣「朝日・毎日新聞記者は虚偽入力を行っておりきわめて悪質」
https://twitter.com/ [twitter.com]
Re: (スコア:2, すばらしい洞察)
最初に防衛省に問い合わせて許可もらってから記事にするでしょ
こんな脆弱性がありますって断りもなしに記事にするのってどうなのよ
Re:ほんと、この国はナニならまともに作れるんだ (スコア:5, すばらしい洞察)
許可さえ出さなければ永久に脆弱性を放置できてしまうことになってしまいますので、許可が必要というルールはありえないです。
ゼロデイ攻撃を抑止するという観点から、通常の脆弱性報告手順だと直接なりIPAを経由するなりして報告し、修正されるか一定期間放置されたら公表、というのが一応業界的には正しい手順となっています。
今回の場合は防衛省側には記事の前に話が行っていたわけですから、公表まで待ってやる時間が適切だったかどうかというところが問題になります。
今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた、つまり既にゼロデイ攻撃が始まっていたわけですから、即時公開やむなしという判断も絶対なしとは言えません。
とはいえ一般論を言えば24時間くらいは待ってやれよとは思います。
そもそも論としては、(我々の認識と違って)この問題はゼロデイ公表が悪なのだという話になっていません。そこを叩くのなら分かるんですけどね。
政府の怒りは「朝日が不具合を発見した」「検証した」ことに向かっており、これはセキュリティ屋さん的な観点で言えば「おっとサイバーノーガード戦法っすか?」って話にはなってしまいます。
問題の発生ではなく問題の発覚を問題視するのが実に日本的だなぁと。
Re: (スコア:0)
> 今回の件だと申込開始直後からチェックガバガバとして5chで祭りになっていた
ほんとに? 少なくともニュー速(嫌儲)で祭りになったのはAERAdotの記事をソースにしたスレが立ってからの話だと思いますが……
https://leia.5ch.net/test/read.cgi/poverty/1621239469/ [5ch.net]
Re: (スコア:0)
そうですよね
このスレッドも脊髄反射で政府批判のメディアを叩くウヨ脳の方々が湧いていますが
ITシステムセキュリティの観点から見れば信じ難い愚行です
もしこの業界で仕事しているのならそこは履き違えないようにしないとご自身の職務品質にも影響します
そしてそもそも今回のって脆弱性というレベルですらない仕様の問題かもしれませんね
Re: (スコア:0)
一方のマスコミ、野党側も、問題があるんだから公表して何が悪いという論になってて、
今後、対策の必要な本当に深刻な脆弱性が見つかっても、対策する間もなく公表されちゃうんでしょうね。
Re: (スコア:0)
まあ現実的にはマスコミや野党なんていう『一般人』が脆弱性を知っている時点でほぼ確実にゼロデイ脆弱性なので即時公開已むなしなんだけどな。
対策する間もクソも、そもそも今回のケースなんて公表されなきゃ対策しなかっただろうし。
Re:ほんと、この国はナニならまともに作れるんだ (スコア:1)
Re: (スコア:0)
対策の必要すらないような問題ならなおさら「なんでバラしたんだ!」って発狂する必要なくね?
悪用されると問題のある穴であるということはこの議論の前提になってると思うんだけどw