Hidetoshi NAGAI <nagai / ai.kyutech.ac.jp> wrote :
    [ [ruby-list:39779] Re: Hiki の脆弱性に関する注意喚起 ]
    at Tue, 22 Jun 2004 10:31:20 +0900

 ささだです.

> これはかなりデリケートな問題だと思います.

 同意します.


> 原因情報の開示はありがたいことではあるのですが,これは攻撃を意図
> する者の作業を容易にしてしまうことにもなります.
> つまりこの情報を開示することは,既存ユーザが移行の作業を行うため
> の時間を短くしてしまう (緊急性が高まる) ことでもあるわけです.
> 運用の形態にも依るとは思いますが,都合上どうしてもすぐには作業で
> きないという人は非常に困ります.
> 
> # セキュリティホールが見つかった場合には即座に対処するというのが
> # 基本かつ当然であるということは,もちろん承知しています.

 これについても考えてはいたのですが,すでにオープンソースソフトウェ
アとして公開しており,またCVSリポジトリも公開されています.今回の告
知内容,および過去のソースとの差異から該当箇所の特定は容易であると思
います.この背景から,悪意とある程度のスキルのあるユーザにとっては
原因の秘匿が攻撃の妨げにはならないのではないかと考えます.

// じゃぁお前も diff 取って調べろよ,と言われそうですが,そこまで
// やる気は起こらなかった・・・.その意味で「原因公開」の負担を押
// し付けているわけで,申し訳なく思います.

 もちろん程度問題で,該当箇所を公開すると,悪意のあるユーザが攻撃
する敷居を下げることになるとは思いますので,永井さんのような判断も
ありだと思います.

 また,おっしゃるとおり,期間をおいてからの原因の公開ももちろんあ
りだと思います.先のメールに,そのことを明記しなかったのは私の非で
す.
(その「期間」をどうするかは,また難しい話だとは思いますが)

> そういう意味で,最初の告知情報としては「どういう状況で,いかなる
> 被害を受けうるのか.対処方法は何か」というもので必要かつ十分では
> ないかと考えます.

 最初の告知情報は必要十分であったという点についてはもちろん同意し
ます.


 ただ,(ずっと)公開しなかった場合とした場合で考えると,公開しな
かったほうがリスクが高いんじゃないかなぁと個人的には思っています.

 多分,このあたりはいろいろと議論されていることだと思いますので,
その上での判断でしたら特に異論はありません.

 Rubyの1ユーザの要望として考えていただければ幸いです.

-- 
// SASADA Koichi at atdot dot net
//