マイクロソフトが日本語による脆弱性報告窓口を開設 84
ストーリー by wakatono
英語がダメな人でもOK 部門より
英語がダメな人でもOK 部門より
Crisp 曰く、 "マイクロソフトは25日、マイクロソフト製品に対して発見した脆弱性を日本語で報告できる窓口を開設した。(ニュースリリース)
INTERNET WATCHの記事によれば、英語以外のこうした情報提供窓口は今回の日本語版が初めてだという。
office氏逮捕事件などを受けて、ともすれば「脆弱性を見つけても見て見ぬふりをするほかない」と考えがちな昨今において、マイクロソフトの今回の措置は評価に値すると思う。引き続き同社のセキュリティに対する取り組みを見守りたい。"
セキュリティ情報の日本語版の提供や、SPやHotFixの類のタイムラグをなくす努力を含め、MSのセキュリティに関する取り組みは評価に値する。結構他のベンダも見習ってほしい部分はあるんだけどなぁ…
ある意味 (スコア:3, 参考になる)
認識しているという事実を示した形になってしまいますね。
ただし、脆弱性を隠したりするのではなく、
その被害を防ごうとする前向きな対処という意味で
私も評価には値すると思いますけれど。
Re:ある意味 (スコア:3, 興味深い)
>自社の製品にそれなりの割合で脆弱性が存在していることを
>認識しているという事実を示した形になってしまいますね。
逆に聞こう、今まで「俺の製品に脆弱性など絶対にないわ!」と公言したソフトってあったっけ?
もちろん妄想や思い込みじゃなくてソース付きで。
…あー、あったね、qmailとか言うやつが…。
Re:ある意味 (スコア:2, すばらしい洞察)
私はMSを叩くつもりはなかったんです。
(というより、自分はWinぐらいしかまともに使えない、
ある意味でMS信者(涙))
元コメントで言いたかったのは
「脆弱性の存在を認めたような形になっちゃうかもしれないけど、
それでも報告窓口を作るなど前向きに対処してる姿勢はいいですね」
ということでして、どちらかというと、一概にMS叩きをするのは
よくない!ということを言うつもりでした。
# 文字のみによるコミュニケーションは難しい…、
# え?私の文才が無いだけ?ごもっとも…(涙)
# 以後、より気を付けるようにします。すいませんでした。
Re:ある意味 (スコア:0, フレームのもと)
自分の頭で考えない人ばかりだからですよ。
その時代時代の優等生回答をコピーして発言する。それが、おりこうちゃんのスタンダード。
そして、時代が移り変わる時期には、時代遅れな連中が目立つ。
Re:ある意味 (スコア:1)
がんばれMSがんばれ。
READY P0
評価に値するかどうか? (スコア:1, すばらしい洞察)
マイクロソフトの今回の措置は評価に値すると思う。
今回の窓口の開設は、単に専用の連絡先を設けた以外の何物でもないのではないでしょうか。
脆弱(ぜいじゃく)性の報告を行なうにあたってなくてはならない、「報告者の免責保証」や「報酬や謝礼の有無」に全く触れられていないのが残念なところです。
前者は報告者が自分の個人情報を公開することによって自らが裁判の場に引きずり出されかねない心配を防ぐため、後者は「ただの無償奉仕デバッガ」を防ぐために必要な対策であると思います。
特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。
Re:評価に値するかどうか? (スコア:2, すばらしい洞察)
大きな組織になればなるほど、適切な所が適切に処理するまでに到るのが
難しくなるものです。専用の連絡先が明確になるだけで大きなメリットがある
というのには思い至らないのでしょうか。
>特に後者について言えば、報告やその後の共同作業の結果作成されたパッチなりサービスパックなりも製品構成の一部として「販売」されるわけですから、何らかの形での謝礼は必要であると思います。
まぁ、考え方は人それぞれですから貴方の場合は要求してみればいいのでは?
#ただ一歩間違うとYBBの件のように脅迫になりそうですけどね ;-)
Re:評価に値するかどうか? (スコア:1)
ごめんなさい。何度読み返してみても「防ぐ必要性」がわからなかった。
たとえば、パッチがリリースされるまで(脆弱性について)黙っていてください、ということでしょうか?
「ただの無償奉仕デバッガ」が、欠陥をすぐに公開する(それがセキュリティ問題につながる)ことを懸念しているのでしょうか?
全ての「ただの無償奉仕デバッガ」が報酬を求めているとは思えないんですが。
#少なくとも、私が某ソフトの開発者に「欠陥を修正するパッチ」を送ったのは、「リリースの度にパッチを当てるのがめんどくさい」ということが動機だった。
Re:評価に値するかどうか? (スコア:1)
バグではなくて仕様ですからお金払えません、と。
逆に害のような気がします。
どうしてタカるかなぁ。。 (スコア:0)
そのためにlinuxだってヲタが毎晩コネくりまわしていじってるんでしょ?タダで。
Re:どうしてタカるかなぁ。。 (スコア:1)
1を聞いて0を知れ!
Re:どうしてタカるかなぁ。。 (スコア:1)
タダでくれてやったんだからそんなものは自分で何とかしろ、と
#さすがに考えすぎかな
Re:どうしてタカるかなぁ。。 (スコア:1)
タダどころか、次バージョンへのアップグレードを
要求されて、更に金をむしりとろうとします。
少なくとも報告を上げてくれた人に対しては、
バージョンアップ優待サービスなどを
出してもバチは当たらないと思いますよ。
Re:評価に値するかどうか? (スコア:0)
#あるコンパイラで非常に基本的な構文が正常に動作しないので
#メーカーに問い合わせたらバグを認めたものの「サポートの契約を
#してないから修正版は渡せない」と言われた・・・。
Re:評価に値するかどうか? (スコア:0)
#私ならもらった小切手は家宝として額に入れて飾りますが…
Re:評価に値するかどうか? (スコア:0)
Re:評価に値するかどうか? (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
火事だけに (スコア:1, おもしろおかしい)
# さんざん言い尽くされたネタなので AC
今までなかったの? (スコア:1)
今までそうしたものがなかったという事に吃驚しています。
Re:今までなかったの? (スコア:1, 参考になる)
各所で公開されているspam中継の証拠突きつけて、やっと事実認めましたから。
ま、いろいろ叩かれて成長できるMSは幸せですなぁ。
Re:今までなかったの? (スコア:0)
日本の企業で、他にやってるところある?
Re:今までなかったの? (スコア:0)
だって、企業じゃなければ脆弱性報告窓口のあるソフトウェアなんて、いくらでもあるからね。
Re:今までなかったの? (スコア:0)
MSのソフトでも単なる障害・使いにくさなどの報告窓口というか
ルートは既にありましたが、それと同じレベルというのじゃあるまいな?
今回のはそれらのルートとは別に専用の窓口を用意したということが特色。
Re:今までなかったの? (スコア:0)
不具合報告なんかどんな企業でも普通にできると思ってたけど。
Re:今までなかったの? (スコア:1)
身の回りで、不具合(バグ)が見つかった場合って、
1.客が担当の営業に文句を言って、調査したらバグだった
2.サポートの電話、メールで、疑いが見つかって、調査したらバグだった
つまり、「うまく動かないぞ!何だこれは!」と怒られて、かなり の労力を
つぎ込んで、操作ミスなのか、バグなのかってことから調査しないとバグか
どうかわんかんない、と。
だから、「バグ報告専用」の窓口ってのは、あるとありがたいな。
だって開発側は、バグの内容、発生条件の絞込みが楽だから、検証、開発の
時間短縮になって、発見からパッチリリースまでの時間を短縮できる
だろうからね。
Re:今までなかったの? (スコア:0)
マイクロソフトの場合、そこが満足に機能していなかっただけのこと。
一般客の立場からすれば、窓口が増えることよりも、1箇所で全ての対応ができるほうが大事(内容によって専門の係りに回されることは問題ありません。)
Re:今までなかったの? (スコア:1)
なるほどね、それが大事、と。
となると、日立とか重電系の窓口ねーちゃんとか大変だろうなあ。
「すみません、炊飯ジャー動かないんだけど」って客と、
「ダムの発電機が壊れて動かないぞ謝罪と(ry」って客と、
両方を相手にしなきゃならないんだろうなあ。
#世の中の仕組みは口で言うほど簡単に単純化できるものじゃないよ。
#って、別の所にも書いた記憶があるな。
聞く側にも・・・ (スコア:1)
普通のサポートや、お客様窓口に電話して、
お宅の製品に○○にセキュリティ上の問題があると伝えてところで、
理解できる人でなければ突っ込んだ応対などが素早く出来ない。
そんな事を出来る人は、やっぱ限られるでしょうし、
効率よく進めるためにそれ専門の窓口を作ったほうが手軽でしょう。
Re:今までなかったの? (スコア:0)
今までなかったこということを知らなかったという事に吃驚しています。
どうも「脆弱性」は発音しにくい (スコア:1, おもしろおかしい)
/.には (スコア:1)
#前までなぜか「ほうじゃくせい」だと思ってたけど、珍しい間違い方か?
1を聞いて0を知れ!
Re:/.には (スコア:1)
# 恥ずかしいので ID(何故
うっうー
Re:/.には (スコア:1)
# 恥ずかしいので ID(何故
I'm feeling Lucy
Re:/.には (スコア:0)
Re:どうも「脆弱性」は発音しにくい (スコア:1)
「ぜいじゃくせい」と意識すると良いですよ。特に、一つ目の「い」に注意。
二つ目の「い」は、別に「ー」でも良いかもしれませんけど。
英語じゃだめ (スコア:1)
Java.sun.comなんかで、英語以外には日本語のページだけ用意されているのも、利用者数とかビジネス的な観点でなく、日本人は英語じゃだめなんだよね、と思われているようで、なんか気になる。……ありがたく使うけど。
Re:英語じゃだめ (スコア:1)
こういうのって,脆弱性発見者とベンダの間で密に(親密かつ内密に)コミュニケーションを取って,迅速に対処ことが必要でしょ.
例えば,SIIではベンダに報告して30日を過ぎても対応が無い場合,公表するということです.(龍谷大小島氏の報告) [ryukoku.ac.jp]
英語できない日本人とうまく意思疎通がとれなくて,勝手に公開されたら(闇での攻撃スクリプト放流を含む)たまんねーってMSが今回の対応をしたのでは?
ちなみに,/.Jは迅速.(産総研高木氏の報告) [ryukoku.ac.jp] まんせー.
Re:英語じゃだめ (スコア:2, 参考になる)
SII → ISS
龍谷大小島氏の報告 → MORITA, Koji 氏の報告
ですね。
Re:英語じゃだめ (スコア:0)
だけど、MS社内の間を取り持つコーディネータが、翻訳と同時に技術的理解の伝言も必要になるから、有能な人でないとなかなか難しそうだね。
Re:英語じゃだめ (スコア:1)
というよりは、英語に熟練しなくとも技術者になれる希有な国だからじゃないですか?
(分野を問わず)専門書の翻訳が世界一活発な国で、日本語しか知らなくとも済みますから。
Re:英語じゃだめ (スコア:0)
レベルを問わなければね。
> (分野を問わず)専門書の翻訳が世界一活発な国で、日本語しか知らなくとも済みますから。
もともと得意な分野(土木、船舶、生産技術)を除くと、そういう妄想にしがみついているおかげでメタメタに弱いですな。たとえば
Re:英語じゃだめ (スコア:1)
それを言ったら、そもそも学士でなくとも技術者になれる国だし。大卒でも専門課程と全然関係ない部署に勤務させられるし。
>古くさいカリキュラムのもとに古くさい和書で勉強するおかげで
そりゃ別にコンピュータサイエンスだけじゃないし、翻訳本が古いものしかないわけでもない。単に教える側が最新のものも教えようとしてないだけ。
>それができない/する必要がないという段階ですでに……
問題なんだけど、日本で技術者を名乗っている連中の99%がそんな状態ですからね。
#せめてerror logくらい英語で書いて欲しい (-_-;;;
#ま、そんな状態だから翻訳が盛んなわけで。
お陰で勤務先で最新の洋書を買っても半年か1年後に、翻訳本も買わなきゃならない羽目になる。
Re:英語じゃだめ (スコア:1)
しかし、海外にあるその窓口がほんものかどうか見極める必要があったりすると難しいと感じる。
日本の窓口でも同じような事は言えるだろうけど。
Re:英語じゃだめ (スコア:0)
その日本という国で一般的に試用されている「日本語」に対応するのは、ごく当たり前のことと思います。
特に、日本語に特化したソフトウェア(MS-IME など)についての報告は、
日本語で行ってもらったほうが話が早いんじゃないでしょうか。
現在流出中のソース内の脆弱性 (スコア:1, 興味深い)
何が起きるか非常に興味があります。
#脆弱性の報告内でソースの内容について一切触れていなくても
#突然NDAの契約書が内容証明で送りつけられてくるに1票
Re:現在流出中のソース内の脆弱性 (スコア:0)
きたら何?
Re:現在流出中のソース内の脆弱性 (スコア:0)
同意しない、契約しないということでOKでしょ。
Re:見て見ぬふりなんてしませんよ (スコア:1)
#それとも懸賞金かけてもらいたいとか?
Re:見て見ぬふりなんてしませんよ (スコア:0)
ウィルスでも不正アクセスでもなければ、実証コード(単に対象サービスを落とすだけとか)を公開することは禁止できないよ。
Re:MS の存在そのものが脆弱 (スコア:0)