高木浩光＠自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..

■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性

[phare]

URL情報を知られてると、セッションをハイジャックされる可能性があるらしい

[u--san]

『脆弱性修正告知の』ユーザビリティ的に考える。

[talo]

「セキュリティアップデートを通常の機能追加アップデートと区別して発表する」

[HeavyFeather]

脆弱性の情報公開に関する洞察

[YasSo]

模範となる告知が広く認知されれば期待できるんじゃないかなぁ。

[fk_2000]

高木氏に軍配。伊藤氏の対応は完璧。トレンドマイクロの対応は。。。

[Kazabana]

ツールバーにおける、閲覧中ウェブページ情報送信についての機能説明を比較。「一般のユーザ達に、これが何を意味するのか理解できたか」と聞いて「よくわからない」なら意味が無い。

[xnissy]

はてなツールバーの件。通知からそんなに時間がかかってたのか……

[tsupo]

こういうのって、読む人の立場を考えればわかるもんじゃないか？ これ作ってる人達は何も考えてないとしか思えない → 「どんな人が読むのか」を考えていない、というのは日常的にある。他山の石

[Tskk]

インストーラにおけるリスク警告表示の良し悪し

[wacky]

ソフトウェア製品の脆弱性が見つかった場合、Webアプリとは異なりユーザへの周知徹底が必要。そのため一般のリリース情報とは区別してセキュリティアップデート情報を流すべき。

[suVene]

［search][hatena]

[rakudaininja]

修正告知の話

[yorihito_tanaka]

習慣と、標準的な告知方法

[hiragisan]

全てのソフトに自動アップデート機能がつかない限り続く問題かも