アカウント名:
パスワード:
発見者である Aviv Raff さんのブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気がないと考えるのは早計だったのではないかと思います。
利用者側の対策のためには、7 月の時点の注意喚起文 [raffon.net]以上の情報は不要だったように見えます。ただし、これだけでは世間の関心が不十分だった可能性があり、同じ内容の注意喚起を言葉を変えて何度もする必要があったかもしれませんけど。
自分で見つけた脆弱性をどう使おうが、ある意味では自由ですけど、自由を無駄遣いする人はそのうち痛い目を見ると思います。
それと、当該製品の開発に関わっていない人に
Both issues are pretty trivial, and can be easily fixed by Apple.
とか言ってほしくありません。利便性を損なわずに直すのが難しいかもしれませんし、これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。「すぐ直せるのにすぐに直さないのは直す気がないからだ」という勝手な推測で重要なセキュリティーホールの詳細を修正前に公表しないでほしいです。
ところで、細かいことですが、スラッシュドットの記事の次の部分には誤りがあります。
たとえば、「http://securelogin.facebook.com.avivraff.com/……」というURLが埋め込まれたリンクをポイントするとiPhoneの画面には「http://securelogin.facebook.com/……」のように表示されてしまう。
スラッシュがないところにいきなりスラッシュが現れたりはしません。発見者のブログや The Register の記事にある例では、 http://securelogin.facebook.com.avivraff.com/reset.php?cc=534a556abd10... [avivraff.com] へのリンクが「securelogin.facebook.com....556abd1006&tt=1212620963」と表示されています。スクリーンショットの「http://securelogin.facebook.com/...」と書かれた部分は、リンク先のアドレスではなく単にアンカー文字列を表しています。
お返事ありがとうございます。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計 よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計
よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。
> 利便性を損なわずに直すのが難しいかもしれませんし、 > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって > 後回しになっているのかもしれませんし、 原則として、安全性は利便性に優先すると思います。
> 利便性を損なわずに直すのが難しいかもしれませんし、 > これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって > 後回しになっているのかもしれませんし、
原則として、安全性は利便性に優先すると思います。
そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。
なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。
以下は #1435006 [srad.jp] への返信です。
ただし、告知の徹底はアップルがやるべき。
たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。
この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。
セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。
注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。
#1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。 こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。
こんなことはさすがにないだろうとは思うが、これが仮に事実だとしたら、そんな危険な製品は市場から駆逐されるべきだろう。いずれにしろセキュリティーのfixに時間がかかりすぎる会社の製品など買うべきでも使い続けるべきでもない。
それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。
# もっとも、今回の脆弱性をappleは直す気がないように私には思えるが。。。直すと見た目を損ないそうだし、そういう修正をしないというのも、企業としてのひとつの方向だろうとは思う。
Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
感心しません (スコア:5, すばらしい洞察)
発見者である Aviv Raff さんのブログ記事 [raffon.net]を読みました。
今年 7 月に発見者が iPhone のセキュリティーホールの詳細を Apple に知らせて、 Apple はそれを脆弱性と認めているのに、 2 か月半たっても修正されない上、いつ修正するかを教えてくれないから詳細を公表したんだそうです。
感心しません。僕は iPhone を持っていないので人ごとですが、もしも僕が iPhone ユーザーだったら今頃発見者に対して怒っているだろうと思います。ベンダーが対話を拒否したならともかく、ベンダーが修正予定時期を明言しなかったなどという理由でセキュリティーホールの詳細を公表する人がいるなんて思いませんでした。修正予定時期を明言しないからって、修正する気がないと考えるのは早計だったのではないかと思います。
利用者側の対策のためには、7 月の時点の注意喚起文 [raffon.net]以上の情報は不要だったように見えます。ただし、これだけでは世間の関心が不十分だった可能性があり、同じ内容の注意喚起を言葉を変えて何度もする必要があったかもしれませんけど。
自分で見つけた脆弱性をどう使おうが、ある意味では自由ですけど、自由を無駄遣いする人はそのうち痛い目を見ると思います。
それと、当該製品の開発に関わっていない人に
とか言ってほしくありません。利便性を損なわずに直すのが難しいかもしれませんし、これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって後回しになっているのかもしれませんし、単にソースコードがぐちゃぐちゃですぐ直せないとかいう恥ずかしい事態なだけかもしれませんし。「すぐ直せるのにすぐに直さないのは直す気がないからだ」という勝手な推測で重要なセキュリティーホールの詳細を修正前に公表しないでほしいです。
ところで、細かいことですが、スラッシュドットの記事の次の部分には誤りがあります。
スラッシュがないところにいきなりスラッシュが現れたりはしません。発見者のブログや The Register の記事にある例では、 http://securelogin.facebook.com.avivraff.com/reset.php?cc=534a556abd10... [avivraff.com] へのリンクが「securelogin.facebook.com....556abd1006&tt=1212620963」と表示されています。スクリーンショットの「http://securelogin.facebook.com/...」と書かれた部分は、リンク先のアドレスではなく単にアンカー文字列を表しています。
Re:感心しません (スコア:2)
iPhoneユーザーですが、危険を知らせてもらえてありがたいと思っています。
> 修正予定時期を明言しないからって、修正する気がないと考えるのは早計
よっぽど直す気なさそうに見えたんじゃないですかね?その辺、Appleは高飛車に対応しそう。
> 利便性を損なわずに直すのが難しいかもしれませんし、
> これ自体を直すのは簡単でもほかにも直すべき箇所がたくさんあって
> 後回しになっているのかもしれませんし、
原則として、安全性は利便性に優先すると思います。
#まさにApple(Jobs)の「傲慢」という暗黒面が発動中だな…。
Re:感心しません (スコア:1)
7月の注意喚起と対策の告知を徹底していれば
確かに、アップルに圧力をかけること以外に
詳細を公表する必然性はありませんね。
ただし、告知の徹底はアップルがやるべき。
Re:感心しません (スコア:1)
お返事ありがとうございます。
たしかに、そういう実際に Apple とやりとりした発見者しか知らない情報をもとに公表を決めた可能性はありますね。
そうですが、あくまでも原則です。 iPhone はそのデザインで評価されているので、安全性のための修正を適用することで iPhone らしいデザインが崩れてしまっては多くのユーザーが納得しないと思います (利便性で評価されているかどうかは知らないので、僕の #1434749 [srad.jp] 中「利便性を損なわずに」の部分は「iPhone らしいデザインを損なわずに」と書く方が適切でした)。
なので、他の要素を無視して安全性だけ考えるなら 1 か月で修正できることでも、安全性と他の要素を両立させるために追加で多少の時間をかけることは許されると思います。「多少の時間」がどれだけかはケースバイケースでしょうけれど。
以下は #1435006 [srad.jp] への返信です。
たしかにそうですね。発見者による 7 月の注意喚起は迅速かつ的確で、これが広く知られていれば修正前に詳細を公表する必要もなかったのではないかと思うので、そうならなかったことが残念です。
Re: (スコア:0)
urlの話は最初それが何で脆弱性なのかぐらいに思ったが、発見者のblogの記事をみたら確かに深刻な話であることが分かった。この手の問題の怖さは、やっぱり例をあげて説明されないと理解されないと思う。
(ちなみに前の人も述べてる通り、スラッシュドットの記事のurlの話はおかしい。blogの英語の内容を読み違えて書かれた記事で、appleからしたら不当に迷惑な話なので即刻修正されるべきだと思う)
画像の自動表示を切るオプションがないのも相当におかしい。今回のような情報があるおかげで、iphon
Re:感心しません (スコア:1)
お返事ありがとうございます。
セキュリティーを理解するのって難しいですからね (主観)。ただ、想像ですけど、この脆弱性の場合は、詳細情報を見て自衛しようと思う人の大半は、発見者の 7 月時点の注意喚起文を読んでいれば自衛しようと考えたのではないでしょうか。
注意喚起が利用者のところまで届かなかったという問題もあるので、それが解決できないと「発見者の 7 月時点の注意喚起文を読んでいれば」という仮定が虚しいものになってしまいますが。
#1434749 [srad.jp] はちょっと熱くなってしまいました。 Aviv Raff さんがセキュリティーホールを発見してベンダーに詳細情報を通知した後、迅速に利用者に向けて注意喚起文を発表して対策を呼びかけたのは素晴らしいと思います。それだけに、修正前に詳細情報が公開される事態になってしまったことが残念です。
それは消費者が判断することですね。発見者の 7 月の注意喚起が広く知られていれば、セキュリティーホールの修正に時間がかかりすぎかどうかを消費者が判断するための材料は揃っていたように思うので、やっぱり注意喚起が広く知られるようにならなかったことが悔やまれます。個人的には、告知から 2 ヶ月半というのはそこまで言うほど長いかなあ、という疑問があります。これを使った攻撃が確認されているわけでもないようですし。
Apple がそういう選択をするとしたら個人的には嫌ですね。知人が iPod touch を使っていて、無線 LAN のホットスポットでの使い勝手が良さそうだったので、 iPhone にはものすごく期待しています。 Apple には、安定性・安全性といった基本的な要件は余裕でクリアした上で、見た目も良く使っていて気持ちが良い携帯情報端末を作ってほしいです。過ぎた期待かもしれませんけど。