[ bROOM.LOG ! ] ( °o°)

2005年05月14日

いっぱい叩かれてしまった訳ですが

この記事は移動しました

URL: http://blog.rocaz.net/cgi/article.cgi?t=2005/05/14T16:04:00

posted by ROCA at 16:04 | Comment(8) | TrackBack(2) | Blog全般 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
脆弱性かどうかは別にして、こういう報告をする人は素敵だと思います。
Posted by k at 2005年05月14日 16:40
ごめんなさい、僕も最後のPerlの記事云々というところをみてちょっと過剰に反応してしまったかなとも思います。

結果的にはよかったんじゃないでしょうか、何をもって脆弱性とみなすかみたいな濃いい議論に発展させることもできたわけですし、僕自身も勉強になりました。

今後ともよろしくお願いします。
Posted by naoya at 2005年05月14日 17:04
私もこの件を「脆弱性」と判断して報告したROCAさんの行動自体は問題ないと思います(ただ、前の記事のPerlに関する発言はちょっと問題があると思う)。

ただそれが最後まで「脆弱性」として扱われるのは、私の感覚とはずいぶん違っているので、そのあたりのずれを修正(あるいは私の方の感覚が間違っているならそれを修正)するために、あのような記事を書いています。
Posted by ishinao at 2005年05月14日 17:11
kさん、

ありがとうございます。そう言ってもらえると救われます(嬉泣

naoyaさん、
さっき読み返してたんですが、やっぱりそこの私の書き方が悪かったんですね。煽ったようになって論点をずらさせてしまい申し訳ないです。
セキュリティはカテゴリーのように語られますが、本来はレイヤー属性だと思うので、いい議論を積み重ねられるのは私も嬉しいし楽しいですね。
こちらこそ今後とも宜しくお願いします。

ishinaoさん、
Perlの件は表現悪すぎなのと、とは言え視点として示してみて識者の意見が欲しい点があり、後で書き直してみます。指摘などありましたらまたお願いします。
また記事で記載した通りなのですが、単純に「一般的に考えうる可能な方法が取られていなければ脆弱性と呼ばれても仕方ない」ところの切り分けなのかと推察します。
まあこの「一般的」というところが問題な訳で。私や私の周りの人間であればそう判断する、または特に客相手だとかなり突っ込まれかねない(本当に煩い人は煩いので)といった感覚からの判断だったりしてます。
Posted by ROCA at 2005年05月14日 18:01
オナニーなのでは?と書いた、当方人です。

揶揄するつもりはなく、自分もオナニー派?
なので、悪意などはなかったのですが、
面識のない方への言葉としては大変
不適切でした。ごめんなさい。

指摘されていたことは、perlうんぬんは
除いて、大変的を得ており、ぼくも
賛同です。

今回の件で、「脆弱」「セキュリティホール」
の言葉の定義を再認識させられました。
指摘のあった部分は、「脆弱」であったと
思います。そういう意味ではPOP3も「脆弱」
でしょう。経路でパスワードを覗き見する
ことは、可能ですから。

ただ、セキュリティホールではなかったと
思います。そこらへん、混同してました。
これらの言葉の解釈や感覚は人それぞれ
温度差がありますよね。


とても勉強になりました。ありがとう
ございました。
Posted by ryu at 2005年05月17日 02:57
「脆弱性」の使用例

MD5,SHA1に脆弱性が見つかった。

これは間違っているでしょうか?
Posted by ryu at 2005年05月17日 03:15
ryuさん、始めまして。
正直悪意にしか聞いていなかった私ですが、謝っても頂き、幸い立ち直りは早い方でしたので(^^;
今後ともどうぞ宜しくお願いします。

>そういう意味ではPOP3も「脆弱」
>でしょう。経路でパスワードを覗き見する
>ことは、可能ですから。

これはレイヤーが異なる話なので、POP3の脆弱と言うのはどうかなと思うのですが、どうでしょう。

また、

>MD5,SHA1に脆弱性が見つかった。

私が言葉の定義をしても仕方ないとは思いつつ、コリジョンなどの従来の理解より弱い性質が見つかったという意味の用例なら「個人的には」違和感は無い気が。

宜しくお願いします。
Posted by ROCA at 2005年05月17日 07:42
>私が言葉の定義をしても仕方ないとは思いつつ、コリジョンなどの従来の理解より弱い性質が見つかったという意味の用例なら「個人的には」違和感は無い気が。

ということなんですよねー。考えられるベストな方法よりも「脆弱」、相対的なものかと。

なので、POP3はPOP3Sよりも脆弱なんです。

といった観点からすると、今回の件も「脆弱性」といっても間違いでないと思うのですが、
では、IPAで公開されるほどのものかという
意味では、みなさん違和感を感じているのだと
理解しています。

Posted by ryu at 2005年05月17日 09:17
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック

[MT][セキュリティ][脆弱性] Re:「ここギコ!: MovableType脆弱性の話」 (16:49)
Excerpt: 個人的には(そこまで重大かどうかは別として。緊急度は「低」だと思う)やっぱりこれは脆弱性といってよいのでは、と思います。 まあそう考える人もいるでしょう。元報告者の方およびその報告を受けて対応し..
Weblog: tdiary.ishinao.net
Tracked: 2005-05-14 17:12

脆弱性とセキュリティホール
Excerpt:  Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の
Weblog: Marklet BLOG
Tracked: 2005-05-15 01:47
×

この広告は90日以上新しい記事の投稿がないブログに表示されております。