字面だけはきれいなんですけれども
http://www.exconn.net/Blogs/team02/archive/2005/07/11/1331.aspx
日本のセキュリティチームの Blogからよ。
えっと…先に申し上げておきますわ。基本的にあたくしは「MSが嫌い」ですの。ですから、そのあたりを割り引いて読んでいただければ、と思いますわ。
そうねぇ。理解できない話ではないんですけれども。やっぱり「行動が伴っていない男」ってただひたすらにみっともないだけよ?
http://www.exconn.net/Blogs/team02/archive/2005/07/11/1331.aspx より
過去より、脆弱性を公表する事はかならず完全な対策と共に行う、というルールがありました。脆弱性であれば、更新プログラムが出来上がり、テストが行われ、情報も十分な内容が盛り込まれた後に公開を行うというものです。対策情報が無しに情報を公開する事は、特定の機能に脆弱性の存在を示す格好の材料となってしまいます。
脆弱性を把握しているのが「あなた達だけ」とは限らないの。だとすると、必要に応じて「とりあえずの対策とともに急ぎ公表する」必要性も時にはあるんじゃなくってかしら?
それを「100%にこだわっている」からいつも後手後手になるんじゃなくってかしら?
ええもちろん時として「本当にテストしてらっしゃるのかしら?」って品質があることも見逃せないわね。
実績…そうねぇ。「疑問視し、あるいは問題視し、あるいは論外と論じるに足るだけの十分な」実績を積んでいると思うわ。
http://www.exconn.net/Blogs/team02/archive/2005/07/11/1331.aspx より
もちろん現在の対応が十分とはいえないかもしれませんが、インターネット上の犯罪行為と製品の安定性などを天秤にかけた基準としては、既に10年にも及ぶ実績を積んできたわけです。
とりあえず、セキュリティホールを埋めたソースコードくらいはちゃんと管理しましょうね。デグレイトなんてそうそう聞きたいお話じゃなくってよ?
これもおかしな話よねぇ。英語版で回避策がいくつか出回ったってことは、そこから逆算して攻撃コードを割り出す連中もいるはずよ。その状況において「アドバイザリの公開の見合わせ」って、単に「見捨ててる」と同意なだけじゃなくってかしら?
http://www.exconn.net/Blogs/team02/archive/2005/07/11/1331.aspx より
この試験公開版の最中に、javaprxy.dll に関するアドバイザリを公開しました。当初このアドバイザリを公開する際に回避策がいくつか公開されたのですが、脆弱性のある機能を無効化するためのツールが出揃っていなかったために、日本語情報の提供をそれらのツールができあがるまで見合わせておりました。本来は、英語版と同様のタイミングで日本語情報を提供すべきなのですが、頻繁に更新を受ける事が確実なのであれば、その更新により管理者が翻弄させてしまうのも混乱につながってしまうと考えていました。
日本語化への意見を「英語のPageで聞く」ってあたりですでに姿勢がしれようってものだわね。
http://www.exconn.net/Blogs/team02/archive/2005/07/11/1331.aspx より
ということで、いまだに情報が確定してから日本語化すべきか、常に日本語情報をタイムリーに出すかの判断がついていません。
もしご意見を聞かせていただけるのであれば、このページからご意見をいただければとおもいます。(ごめんなさい、そもそも投稿ページが英語表記です・・・)
まぁ「あんな物騒な設計思想」を前提にしている割にはがんばってらっしゃるんだろうとは思うの。でも、やっぱり根っこが腐ってたらどうにもならないっていういい見本だわ。
そうねぇ。とりあえず、もうちょっと「翻訳者にかける予算」を増やして、一両日中くらいには翻訳できている、くらいの速度でちゃんと情報を流していただけないものかしら?
もちろん「そもそもセキュリティホールを減らす」ってのが大前提なんですけれども。
