04/01/24 23:05
>>440
>>原因となってしまったならちゃんとフォローすればいいだけのこと
>ちゃんと状況を報告すると真似するやつがでてくるでしょ。
ASKACCSがやったレベルでいいとおもうよ。
それにもう対策済みのブツに差し替えのはずだし、旧版にしか通じない攻撃手法を説明してもさしたる問題じゃない。
>ワシとしては、一言いっておいてくれたらワシのユーザへの対策を余裕を持って出来たとは思うが、まねするやつの存在を考えたらダンマリもやむをえないかもしれない。
非公開のつもりでも詳細な手法は知られているよ。
発見者が一人居たら、三十人くらいは攻撃方法知ってるやつがいると思ってもいいんじゃない?
>んーと、この部分に気がついたので、ソース未公開バージョンをリリースしたんだと思うぞ。
>で、シャレにならない脆弱性が隠れていた。
乗り換え推奨のときにちゃんと説明されていたなら問題ないと思うよ。
「新しいの出たよ~」だけだったら、乗り換えない奴も出るでしょ。「何故」の部分がないと。
この後に書くけど、説明をそこそこやっときゃユーザの運用に責任を移せるんだし。
>(最新版の一歩手前までシャレにならない部分の対策できてたか否か非常に興味があるなぁ。。。W)
同じく。どんなスクリプトだったのか、現物見てみたいなあ。
>>今度から気をつけます、なんてのが通じるのは小学校くらいまでだと思うよ。
>だからわしもそう思うんだが、この業界では、マイクロソフトがそれを押し通したので免罪符になっとるんだわな。
技術的な詳細は、鯖屋ならユーザには渡したほうがいいと思うけど、一般向けには必要無いと思う。考えられるリスクを指摘して、対策版への乗り換えを促すくらいかな。
ゲイツんとこはユーザが多すぎるから「お知らせ」なんかやってらんなくて自動アップデートで対策してるんだろう。オフィシャルやメルマガでも情報公開してるし。
ある程度説明しておけば、危険性があるってことを公知にできる。公知にできるってことは、それでも使う奴が悪いって言える。さっき書いたユーザへの責任移行ができるんよ。
パッチ(対策版)を出したなら、ちゃんと説明して移行を促すべきだよ。