いらん負荷をかけてどうする

まさか私の日記を受けての発表ではないだろうが、タイムリーに意見を表明していただいている。

Upcoming Advisoriesに記載されているのは,影響を受ける製品と影響度だけ。「Upcoming Advisoriesに書かれている情報を基に脆弱性を見つけられるような人なら,その情報なしでも見つけられる」(鵜飼氏)。

ITNet:「脆弱性情報の公開はベンダーに圧力をかけるため」—米eEyeの鵜飼氏

穴を探している人間に採って、脆弱性が存在していることを「知っているかどうか」はとても重要な違いだ。海賊キッドの宝物と同じで、あるとされているから探すんであって、ただ海の底を浚うようなまねはしない。

たとえば、今回のアドバイザリがあれば(何度か修正されているし、CNetにはインタビューなんだろうがアドバイザリ以上の情報が流れているし)一定以上の技術を持ったエンジニアなら、だれでも具体的な攻略法を見つけることができるだろうけど、この情報がなければ、そこを探そうとも思わないよ。

全く黒社会にはありがたいことだよね。プロフェッショナルエンジニアが会社の金を使って穴の存在を調べてくれて、公開してくれるんだから。

公開されていないセキュリティホールに対してのパッチは、MicrosoftもAppleもよくやっていると思うよ。現在はほぼ毎月パッチを出しているじゃないか。セキュリティに携わる人間なら、この月刊パッチに組み込んでもらうために企業と連絡を取り、情報を提供し、そして、パッチが公開されるまでパッチが公開されるか、看過し得ない危険が存在するにもかかわらず修正されないことが確認できるまでは固く口を閉ざしているべきだ。

パッチの公開日に大々的に宣伝すればいいじゃないか「この修正はオレたちの協力で作られたんだ!」って。MSが2004年から出来上がり次第のパッチ提供から月一回の提供に変更した理由もよく知られているよね。パッチを当てる現場の管理者やエンドユーザーを混乱させてしまったからだ。

アドバイザリの形式で広告を行うことで、Malwareの開発期間が大幅に短縮されていることに気づいてほしい(いや、もう知ってるんだろうけどさ)。

関連

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

%d人のブロガーが「いいね」をつけました。