脆弱性情報の公表に関する疑問 (ひぐまのひまグ)
――とはいえ、あれから1年という時間が経過していることを踏まえ、少しだけ当時のことについて思うところを記しておこうと思う。 まず1.について。勿論、自分の個人情報と引き換えにユーザーを犠牲にするような対応を取ったのは開発者として許されるものではなかったことは十分認識し反省している。しかし、脆弱性情報を入手するのに個人情報(特に住所・電話番号)の登録が必要だというシステムには若干疑問を覚えたのも事実だ。しかもその後のやり取りの中で実は本家Sageプロジェクトの開発者は製品開発者リストへの登録なしに(氏名とメールアドレス、公開鍵の提出のみで)脆弱性情報が提供されていたことが判明した。同じ機関から同じ情報を得るのに国内と海外とで対応が違うというのは理不尽だと思う。 これに関してはJPCERT/CCに質問状を提出し回答も得ているのだが、公開は望まないとのことなのでここで詳細を記すことは控える。ただ
Sage++ (Higmmer's Edition) 公開再開にあたって (ひぐまのひまグ)
本年2月4日を以て公開停止状態となっておりましたSage++ (Higmmer's Edition)ですが、諸事情を考慮して明日より公開を再開させて頂くことに致しました。今回のバージョンでは一部セキュリティ対策が強化されたほか、フィード解析処理の改善、自動更新チェックの高速化、Yahoo!ブックマークとの連携機能、自動アップデートへの対応など大幅な変更が加えられております。主に自分が欲しい機能を追加していっただけの代物ですが、それでも必要とする方がいれば使って頂ければなと思っております。特に現在Sageユーザーの方ならきっと損はしないはずです。 さて、この再公開にあたっては前回の脆弱性問題の時と同じ過ちを繰り返さないようにしなければならないと考えております。その為には新たな脆弱性の報告又は通知を受けた際の対応方針を明確化しておく必要があります。それに関連して先ごろIPAより重要な発表があり
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ)
当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の
フレッシュリーダーの脆弱性に関連してSage++のこと (ひぐまのひまグ)
実はこの連絡を受けるまで寡聞にしてJPCERT/CCという組織のことは知らなかったのですが、Wikipediaによると「コンピューターセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う中間法人」らしいです。 本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません。 ただ、JPCERT/CCからの連絡によるとこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
