アカウント名:
パスワード:
発見者である Aviv Raff さんの ブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気
お返事ありがとうございます。
この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。
セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。
注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。
#1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。 こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。
こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。
それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。
# もっとも、今回の脆弱性をappleは直す気がないように私には思えるが。。。直すと見た目を損ないそうだし、そういう修正をしないというのも、企業としてのひとつの方向だろうとは思う。
Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
感心しません (スコア:5, すばらしい洞察)
発見者である Aviv Raff さんの ブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気
Re:感心しません (スコア:0)
urlの話は最初それが何で脆弱性なのかぐらいに思ったが、発見者のblogの記事をみたら確かに深刻な話であることが分かった。この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。
(ちなみに前の人も述べてる通り、スラッシュドットの記事のurlの話はおかしい。blogの英語の内容を読み違えて書かれた記事で、appleからしたら不当に迷惑な話なので即刻修正されるべきだと思う)
画像の自動表示を切るオプションがないのも相当におかしい。今回のような情報があるおかげで、iphone以外の選択肢を考えるユーザーも出てくるだろうし、それはそれで健全なことだ。
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。
こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。
# もっとも、今回の脆弱性をappleは直す気がないように私には思えるが。。。直すと見た目を損ないそうだし、そういう修正をしないというのも、企業としてのひとつの方向だろうとは思う。
Re:感心しません (スコア:1)
お返事ありがとうございます。
セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。
注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。
#1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。
それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。
Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。