/././.スラッシュドット日本観察スレッド 2/././.
読んどけ。運営者の体質がよく分かる
ttp://www.office.ac/tearoom/noframe.cgi
ttp://www.office.ac/tearoom/noframe.cgi
|
|
|
768 :login:Penguin:02/02/06 08:20 ID:NugQJS9w
>>767
そこでoffice氏が問題としている点は、
1.バグ報告などを受け付ける方法が明記されていない。
2.slashdot.jpはslashcodeの持っていたクロスサイトスクリプティング
(以降CSS)脆弱性およびそれに対するfixを行なったことを速やかに
slashdot.jpのユーザに通知すべきであった
3.安井氏曰く、「slashdot.jpのサービスはあくまでも既存のslashcodeを
利用したものに過ぎず、コードのメンテナンスは
http://sourceforge.net/projects/slashcode/で行なっている」
と主張しているが、それは責任の所在を含めてslashdot.jpに明記すべき
4.slashdot.jp運営者はVA/OSDN(米国、日本法人共に含む)に対し、他の
OSDNサイトへの積極的な対応を呼びかけるべきだ
の4つになる。
1.3.についてはOSDN Japanに弁解の余地はない。3については
http://slashdot.jp/faq/tech.shtml#te500 に記述があるが、
さらに分かりやすい場所にコードの所在も含めた記載を載せることが
妥当である。
なお、office氏曰く、「slashdot.jpのサイト利用者の安全責任は誰に
あるのですか?(中略)あなたたちがcodeの安全確認をきちんとしなかった」
とあるが、こういう場合だれの責任になるのだろう?純粋に設定の問題であれば
slashdot.jpの責任であろうが、もし今回の事例で仮にApacheにバグがあったと
したらslashdot.jpに対して文句をいうのは正当?それとも筋違い?
Apache Foundationへの責任はどうなる?他の人の意見が聞きたい。
4.については、たしかにoffice氏の主張も分からなくはないが、現実問題
として出資関係にあるとはいえ米VAに対しOSDN関連サイトのCSS脆弱性への
fixを強要させることは難しいだろう。
2.についての安井氏の回答は「upstream(この場合は
sourceforge.net/projects/slashcodeであろう)の対応が整うまでみだりに
脆弱性を明らかにすることは危険」とあるが、これは現状では妥当な判断である。
以前wu-ftpdにリモートからrootをとれるバグが存在した時、RedHatが先走りで
fixをリリースした(本家サイトでもfixはリリースされていない時期に)
結果ほかのdistroも早急にfixをリリースせざるを得なくなったことからもわかる。
>>767の「フルディスクロージャ云々」の方で述べられているが、
office氏は原則「セキュリティホールが発見された場合はユーザに広く
早急に告知すべき」という考えを持たれているようで、この辺りの認識が
根本的にslashdot.jp運営サイドと異なっているようだ。
まあこのネタはいずれセキュリティMemo MLで取り上げられることでしょう。
そこでoffice氏が問題としている点は、
1.バグ報告などを受け付ける方法が明記されていない。
2.slashdot.jpはslashcodeの持っていたクロスサイトスクリプティング
(以降CSS)脆弱性およびそれに対するfixを行なったことを速やかに
slashdot.jpのユーザに通知すべきであった
3.安井氏曰く、「slashdot.jpのサービスはあくまでも既存のslashcodeを
利用したものに過ぎず、コードのメンテナンスは
http://sourceforge.net/projects/slashcode/で行なっている」
と主張しているが、それは責任の所在を含めてslashdot.jpに明記すべき
4.slashdot.jp運営者はVA/OSDN(米国、日本法人共に含む)に対し、他の
OSDNサイトへの積極的な対応を呼びかけるべきだ
の4つになる。
1.3.についてはOSDN Japanに弁解の余地はない。3については
http://slashdot.jp/faq/tech.shtml#te500 に記述があるが、
さらに分かりやすい場所にコードの所在も含めた記載を載せることが
妥当である。
なお、office氏曰く、「slashdot.jpのサイト利用者の安全責任は誰に
あるのですか?(中略)あなたたちがcodeの安全確認をきちんとしなかった」
とあるが、こういう場合だれの責任になるのだろう?純粋に設定の問題であれば
slashdot.jpの責任であろうが、もし今回の事例で仮にApacheにバグがあったと
したらslashdot.jpに対して文句をいうのは正当?それとも筋違い?
Apache Foundationへの責任はどうなる?他の人の意見が聞きたい。
4.については、たしかにoffice氏の主張も分からなくはないが、現実問題
として出資関係にあるとはいえ米VAに対しOSDN関連サイトのCSS脆弱性への
fixを強要させることは難しいだろう。
2.についての安井氏の回答は「upstream(この場合は
sourceforge.net/projects/slashcodeであろう)の対応が整うまでみだりに
脆弱性を明らかにすることは危険」とあるが、これは現状では妥当な判断である。
以前wu-ftpdにリモートからrootをとれるバグが存在した時、RedHatが先走りで
fixをリリースした(本家サイトでもfixはリリースされていない時期に)
結果ほかのdistroも早急にfixをリリースせざるを得なくなったことからもわかる。
>>767の「フルディスクロージャ云々」の方で述べられているが、
office氏は原則「セキュリティホールが発見された場合はユーザに広く
早急に告知すべき」という考えを持たれているようで、この辺りの認識が
根本的にslashdot.jp運営サイドと異なっているようだ。
まあこのネタはいずれセキュリティMemo MLで取り上げられることでしょう。
769 :login:Penguin:02/02/06 08:41 ID:8rcXzj3t
770 :Oliver:02/02/06 10:13 ID:gqbO7HjW
office氏が読んでいるかどうか分からないここに書くのもなんだが、
とりあえず深夜(CET)にoffice氏のホームグランドに書くのは変な
事を書いてしまうかもしれないので、明日。
>>768
1.について:これは耳が痛い限り。これまでいろいろバグレポ
ートがタレコミとして寄せられてきたが、分かりにくいという声
がこれまで大きく出たことはない。でも、分かりにくいみたいな
のでslashmasterのアドレスとバグ報告はタレコミでお願いする旨
のバグ報告ページを作成中。左のリンクバーに追加予定。
3.について:自分達はslashcode.comのコードの一利用者で、同プロ
ジェクトのCVSや公開ソースを使ってる。もちろんバグ報告があれ
ば、upstreamに流す。そりゃ、上流の人達とはそれなりにコンタク
トを取っているが、大きな影響力もなければ強制力もない。バグ報
告はすごくありがたいし、office氏のやっている事はマジで尊敬に
値するが、バグ報告の正しい行き先はslashcode.comだと思う。そ
の方が無駄なタイムラグがないし、ワンクッションはさまずに、直
に問題点を議論できる。上流のパッチや、直なバグ報告を無視した
としたら、俺らに責任がないはずがないが、すべてにおいての責任
っておいきれないぞ。600日近くLinuxソースの放送をきくしかな
いね、もう。
4.呼びかけてるぞ。すぐにパッチを上流にforwardしたし、office
氏のバグレポートに述べられていたOSDNサイトには直に連絡もし
たさ。タイムラグがある以外はoffice氏が直に呼びかけるのと大差
がないと思う。
さて、2だが、これが焦点でいちばん難しい。俺は、わざわざスト
ーリにするほどの事でもない、と判断した。前のは実際に乗っ取り
が可能な事が確認されているので掲載した。今回のはマイナーで
あると思ったし、クロスサイトスクリプティングやその他のバグ/脆
弱性はきっともっとあると思う。そのすべてをいちいちストーリと
して取り上げていたら、キリがない。もしどこかに書くとしたら、
日記にちょこっと程度で十分だと少なくとも俺は感じてる。本当に
正しい場所はSlashcodeのCVS commit logやChangeLogだろう。
office氏からは「隠蔽」と言われた。隠蔽しているつもりは毛頭
ないけど、そう思われたら残念だ。どうせだから、office氏のこ
のタレコミをベースに近々、責任ある情報公開に関する議論すべ
くストーリを書くつもりだ。
ただし、期末試験が終ってから (哀)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YIC4h4aHre9Q0f8RAlcKAJ0Zcm1EP0ng9y9Sz24JnrXp3SPvqACggF4X
5gF/tbfuJ/Y8oU+HCZ8zkz4=
=9BD0
-----END PGP SIGNATURE-----
とりあえず深夜(CET)にoffice氏のホームグランドに書くのは変な
事を書いてしまうかもしれないので、明日。
>>768
1.について:これは耳が痛い限り。これまでいろいろバグレポ
ートがタレコミとして寄せられてきたが、分かりにくいという声
がこれまで大きく出たことはない。でも、分かりにくいみたいな
のでslashmasterのアドレスとバグ報告はタレコミでお願いする旨
のバグ報告ページを作成中。左のリンクバーに追加予定。
3.について:自分達はslashcode.comのコードの一利用者で、同プロ
ジェクトのCVSや公開ソースを使ってる。もちろんバグ報告があれ
ば、upstreamに流す。そりゃ、上流の人達とはそれなりにコンタク
トを取っているが、大きな影響力もなければ強制力もない。バグ報
告はすごくありがたいし、office氏のやっている事はマジで尊敬に
値するが、バグ報告の正しい行き先はslashcode.comだと思う。そ
の方が無駄なタイムラグがないし、ワンクッションはさまずに、直
に問題点を議論できる。上流のパッチや、直なバグ報告を無視した
としたら、俺らに責任がないはずがないが、すべてにおいての責任
っておいきれないぞ。600日近くLinuxソースの放送をきくしかな
いね、もう。
4.呼びかけてるぞ。すぐにパッチを上流にforwardしたし、office
氏のバグレポートに述べられていたOSDNサイトには直に連絡もし
たさ。タイムラグがある以外はoffice氏が直に呼びかけるのと大差
がないと思う。
さて、2だが、これが焦点でいちばん難しい。俺は、わざわざスト
ーリにするほどの事でもない、と判断した。前のは実際に乗っ取り
が可能な事が確認されているので掲載した。今回のはマイナーで
あると思ったし、クロスサイトスクリプティングやその他のバグ/脆
弱性はきっともっとあると思う。そのすべてをいちいちストーリと
して取り上げていたら、キリがない。もしどこかに書くとしたら、
日記にちょこっと程度で十分だと少なくとも俺は感じてる。本当に
正しい場所はSlashcodeのCVS commit logやChangeLogだろう。
office氏からは「隠蔽」と言われた。隠蔽しているつもりは毛頭
ないけど、そう思われたら残念だ。どうせだから、office氏のこ
のタレコミをベースに近々、責任ある情報公開に関する議論すべ
くストーリを書くつもりだ。
ただし、期末試験が終ってから (哀)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YIC4h4aHre9Q0f8RAlcKAJ0Zcm1EP0ng9y9Sz24JnrXp3SPvqACggF4X
5gF/tbfuJ/Y8oU+HCZ8zkz4=
=9BD0
-----END PGP SIGNATURE-----
771 :login:Penguin:02/02/06 10:21 ID:uifHdISn
772 :login:Penguin:02/02/06 10:56 ID:Dpfrkj3F
>771
IRC って #slashdot でしょ?
かなりイタイちゃねるなんだけど。
仲間にはなりたくないな。
IRC って #slashdot でしょ?
かなりイタイちゃねるなんだけど。
仲間にはなりたくないな。
773 :login:Penguin:02/02/06 11:13 ID:+jqe4mME
>>770 の本文はニセモノですか?
本物なのはここだけ?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
本物なのはここだけ?
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
770は私ではありません。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YIC4h4aHre9Q0f8RAxcKAJ0Zcn1EP0nt9y9Sz24PnrXp3SPvqAQggF4X
5gG/tbauJ/S8iU+HCZ8zkz4=
=9BD0
-----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
giko-nuigurumi (with crossscripting vulnerability)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YIC4h4aHre9Q0f8RAxcKAJ0Zcn1EP0nt9y9Sz24PnrXp3SPvqAQggF4X
5gG/tbauJ/S8iU+HCZ8zkz4=
=9BD0
-----END PGP SIGNATURE-----
775 :login:Penguin:02/02/06 12:44 ID:YEmPbmK+
久しぶりにモデレート権限まわってきたぞ
でも修論提出間際で糞忙しいんじゃヴォケガ
とかいいながら2chに書き込んでるオイラは一体…
でも修論提出間際で糞忙しいんじゃヴォケガ
とかいいながら2chに書き込んでるオイラは一体…
776 :login:Penguin:02/02/06 13:43 ID:KaHuDbJS
>>770
> すべてにおいての責任っておいきれないぞ。600日近くLinuxソースの放送をきくしかないね、もう。
誰が すべてにおいての責任 と言いましたか。典型的な似非議論ですな。
> クロスサイトスクリプティングやその他のバグ/脆弱性はきっともっとあると思う。
> そのすべてをいちいちストーリとして取り上げていたら、キリがない。
セキュリティバグとその他のバグをいっしょにして、キリがない 発言ですか。
典型的な似非議論のテクですな。
> すべてにおいての責任っておいきれないぞ。600日近くLinuxソースの放送をきくしかないね、もう。
誰が すべてにおいての責任 と言いましたか。典型的な似非議論ですな。
> クロスサイトスクリプティングやその他のバグ/脆弱性はきっともっとあると思う。
> そのすべてをいちいちストーリとして取り上げていたら、キリがない。
セキュリティバグとその他のバグをいっしょにして、キリがない 発言ですか。
典型的な似非議論のテクですな。
777 :login: Demon:02/02/06 16:44 ID:zn2ZGNdF
/.-J 落ちてませんか?
778 :login:Penguin:02/02/06 16:58 ID:CVZF04P1
>777
メンテ中
メンテ中
779 :login:Penguin:02/02/06 17:02 ID:ZkbU60MH
某memoより
> あ、slashdot.jp に お知らせ: メンテナンスのため,2/6(水) 14:00- サービスを一時停止します.
> 夕方には復旧する予定です なんて出てますね。
> あ、slashdot.jp に お知らせ: メンテナンスのため,2/6(水) 14:00- サービスを一時停止します.
> 夕方には復旧する予定です なんて出てますね。
780 :login: Demon:02/02/06 17:25 ID:zn2ZGNdF
781 :login:Penguin:02/02/06 18:06 ID:Y5HvI1Lv
2ch がダウンしたらもっとはかどるんだけどな
782 :Oliver:02/02/06 18:09 ID:58AW7+Xa
OpenPGP署名のタイムスタンプが証拠さ。
カキコミ時点に近い。
EUC-JPに署名しても、保存時の変換がどう
なるか分からんし、Windowsでコピペして
署名検証しようとしたらShift-JISになって
そうなので本文署名はしてないが、すべき
かなぁ。
カキコミ時点に近い。
EUC-JPに署名しても、保存時の変換がどう
なるか分からんし、Windowsでコピペして
署名検証しようとしたらShift-JISになって
そうなので本文署名はしてないが、すべき
かなぁ。
783 :login:Penguin:02/02/06 18:47 ID:0EjE/Yg1
784 :ドットスラッシュ:02/02/06 18:47 ID:LjUQvHcz
2ch specificだけどtripを使うとか
785 :login:Penguin:02/02/06 19:31 ID:vFBt+ywx
2chで暗号署名なんてのはダサい。
786 :login:Penguin:02/02/06 19:54 ID:S8+BqWAY
>>768
クロスサイトスクリプティングが、サイト側の問題みたいにいってるが、
そんなの、引っかかるユーザーがわるいだろ
そういった芸当もできるのが、Javascript/ActiveScriptの魅力なわけだし
クロスサイトスクリプティングが、サイト側の問題みたいにいってるが、
そんなの、引っかかるユーザーがわるいだろ
そういった芸当もできるのが、Javascript/ActiveScriptの魅力なわけだし
787 :login:Penguin:02/02/06 20:13 ID:S8+BqWAY
788 :Oliver:02/02/06 21:44 ID:gqbO7HjW
>>783
0liver as in zero-liver ね。面白いしいいんじゃない。
笑わせてもらった。紛らわしいのが原因で変な騒乱とかに
ならない限り、ご自由にどうぞ、って感じだ。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
posted as reply to 783 @ Linux-board
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YSUPh4aHre9Q0f8RAlHrAKCN64C2cN40VHdO5TFVG/82AF2I9wCgyZ3n
JMhMEOo/jd6QfYXQhdENy0o=
=GAa9
-----END PGP SIGNATURE-----
0liver as in zero-liver ね。面白いしいいんじゃない。
笑わせてもらった。紛らわしいのが原因で変な騒乱とかに
ならない限り、ご自由にどうぞ、って感じだ。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
posted as reply to 783 @ Linux-board
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8YSUPh4aHre9Q0f8RAlHrAKCN64C2cN40VHdO5TFVG/82AF2I9wCgyZ3n
JMhMEOo/jd6QfYXQhdENy0o=
=GAa9
-----END PGP SIGNATURE-----