アカウント名:
パスワード:
発見者である Aviv Raff さんの ブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気
お返事ありがとうございます。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計 よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計
よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。
> 利便性を損なわずに直すのが難しいかもしれませんし、 > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって > 後回しになっているのかもしれませんし、 原則として、安全性は利便性に優先すると思います。
> 利便性を損なわずに直すのが難しいかもしれませんし、 > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって > 後回しになっているのかもしれませんし、
原則として、安全性は利便性に優先すると思います。
そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。
なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。
以下は #1435006 [srad.jp] への返信です。
ただし、告知の徹底はアップルがやるべき。
たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
感心しません (スコア:5, すばらしい洞察)
発見者である Aviv Raff さんの ブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気
Re: (スコア:2)
iPhoneユーザーですが、危険を知らせてもらえてありがたいと思っています。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計
よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
> 利便性を損なわずに直すのが難しいかもしれませんし、
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって
> 後回しになっているのかもしれませんし、
原則として、安全性は利便性に優先すると思います。
#まさにApple(Jobs)の「傲慢」という暗黒面が発動中だな…。
Re:感心しません (スコア:1)
お返事ありがとうございます。
たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。
そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。
なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。
以下は #1435006 [srad.jp] への返信です。
たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。