04/01/21 20:05
>>393
> 予見出来ない。
予見していたから、新CGIを開発して、旧CGIのサポートを打ち切って(オリジナルCGI扱いにして)
逃げたわけでしょう。
「オリジナルCGI扱い」にすれば責任をユーザに移転できるという発想もおかしい。
だって、作った人でないと脆弱性は把握できない(把握しにくい)でしょう。
本当のオリジナルCGIは、設置した人が把握して設置していることが前提だけど、
旧CGIはファーストサーバによって最初に提供されているのだから。
しかも、旧CGIを簡単に利用できることをサービスの売りのひとつとして商売していたわけだし。
しかも、CGIを別のものに乗り換えるためのユーザのコストは無視できないわけだから、
当然ユーザはそのまま使い続けてしまうことになる。
ACCSのようなプライバシーに敏感なユーザでさえそうだったわけで。
脆弱性が何かありそうだと悪い予感がして(予見できて)逃げの手を打ってサポート外とし、
かつ、脆弱性の調査を行わなかった。