2011年9月29日(木曜日)
JVNで連絡不能製品開発者の一覧を公表
公開: 2011年10月8日21時50分頃
IPAからこんなプレスリリースが出ていますね……「届出された脆弱性関連情報における連絡不能な製品開発者の一覧を公表 (www.ipa.go.jp)」。
製品開発者と各種の連絡手段を用いて連絡を試み、連絡先が不明または一定期間に渡り全く応答が無い製品開発者については、JVNにて「連絡不能開発者一覧」として公表(製品開発者名または製品開発者を特定できる情報)し、IPA、JPCERT/CCが連絡を求めていることを周知
公表後、一定期間(約3か月)を経過しても応答が無い場合は、製品情報(具体的な対象製品の名称およびバージョン)を追加で公表し、広く製品の関係者からの連絡を求めていることを周知
リストは既にJVNの「連絡不能開発者一覧 (jvn.jp)」で公開されていますので、心当たりのある方は連絡しましょう。
脆弱性が届け出られても、連絡不能で取扱終了になってしまうケースや、連絡に非常に時間がかかるケースなどがあります。パッケージ製品として販売されているものは比較的連絡がつきやすいでしょうが、そうでないものにも脆弱性はあるわけです。
個人的に良く経験しているのは、以下のようなパターン。
- ウェブサイトの脆弱性らしきものを発見
- いろいろ調べてみると、どうもフリーで配布されているCGIプログラムっぽい
- 配布元のサイトを発見
- そこに設置してある設置サンプルを調査すると、脆弱性と思われる挙動が再現
このような場合、ウェブサイトの脆弱性ではなく、ソフトウェア製品の脆弱性ということになります。
しかし、この手のフリーCGIの配布元は、個人サイトだったりすることも多いです。サイトの最終更新日が何年か前だったりすることもあり、そうなると「これ連絡つくのか?」と不安に思いつつも届け出るという感じになります。
それでも、意外に連絡はつくものです。おそらくIPAやJPCERT/CCの中の方が頑張っておられるのでしょう。頭が下がります。
しかしまあ、どうしても連絡がつかない場合というのもあるわけで。ウェブサイトの場合、何年か経ったらサイトが閉鎖されていて解決、というパターンが良くあるのですが、ソフトウェア製品の場合はそうも行きません。たとえ配布されなくなっても、古いものが使われ続けている可能性があるからで、うやむやに終わらせるわけには行きません。
というわけで、連絡がつかない人を公開してみて、その後は随時情報を公開していくという方針なのでしょう。今のところ、脆弱性関連情報そのものを公開するというところまでは行ない想定のようですが、将来的にはどうなのでしょうね。
- 「JVNで連絡不能製品開発者の一覧を公表」にコメントを書く
関連する話題: セキュリティ / IPA / JOCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ
もうダマされないための「科学」講義
公開: 2011年10月8日21時25分頃
読み終わったので。
- もうダマされないための「科学」講義 (www.amazon.co.jp)
章ごとに著者が違って主張もまちまちだったりします。
1章は菊池誠さんの過去の講演をまとめたもので、どこかで見たような内容 (Youtubeで講演のビデオを見たのかも)。
2章では「科学とは何か」を、主張の内容ではなく主張者の態度から判断しようと試みていて、この定義が興味深いと思いました。
以下の所与の制約条件の中で、最も信頼できる手法を用いて情報を生産するような集団的知的営み
(a) その探求の目的に由来する制約
(b) その研究対象について現在利用可能な研究手法に由来する制約
以上、p97 より
以前読んだ「科学的とはどういう意味か」では再現性があることを要件としていましたが、その定義では疫学のようなものを含むのか含まないのか判然としないという問題がありました。こちらの定義のほうがスッキリしていると思います。
3章は報道のあり方の話ですが、印象に残ったのはこの話。
幸いなことに、今では役所や企業は、記者クラブの記者達に流す広報文と同じものをウェブサイトに出している。口頭で説明する内容もたいして変わりません。そこから読み取れる情報量はかなり多い。
以上、p148 より
これは全くその通りで、それなりの規模の企業であれば、サイト上にきちんとプレスリリースを出しています。震災直後に流れた無数の話の中にも、東京電力のプレスリリースを読むだけで虚偽が判断できるものがかなりありました。企業が自ら発信している一次情報を直接見られるわけですから、これを参考にしない手はないと思います。
逆に、企業や公共団体には、このようなウェブ上での情報発信のあり方が問われることになります。
それから、4章はトランスサイエンスの話。トランスサイエンスとは、「科学に問うことはできるが、科学だけで答えを出せない問題」のことです。印象に残ったのはこのくだり。
たとえば、リスクにさらされているのが自分たちだけで、リスクの裏返しである便益は自分たちにはないと認められる場合には、そうでない場合よりもリスクは大きく捉えられる傾向があります。これは社会におけるリスクと便益の分配の「公平性」という正義の問題であり、単なる個人的・主観的な「バイアス」などではありません。
リスクにさらされるのが自発的な意思に基づくのか、そうでないのかも、リスクの捉え方に違いをもたらします。非自発的・強制的である方が、リスクは大きく捉えられる。これは「自己決定権」の問題であり、やはり社会正義に属する事柄です。
(~中略~)
3・11以降繰り返されている「福島第一原発事故による放射線リスクは、レントゲンやCTスキャン、放射線治療による被曝のリスクより小さい」といったリスク比較はその典型例です。
以上、p189 より
こういう安易なリスク比較をする論者は多いように思いますね。しかも、主張を受け入れられないと、「騒ぐやつはヒステリーだ」というような論調で反論を切って捨ててしまったりもします。自身の主張が「科学的に絶対に正しい」と思ってしまうと、そこで思考が止まってしまうのでしょう。「なぜこの主張が受け入れられないのか」という理由が理解できずに、「ヒステリー」などのレッテルで相手をおとしめて整合化しようとしてしまうのだと思います。
Twitterなどを見ていると、きちんとした科学者の方は、安易に「科学的に正しい」という主張をしたりはしないように見えます。科学の限界を知っていて、科学だけでは答えを出せない領域があることが分かっているからでしょう。
付録は、放射性物質に関するデマのまとめ。Twitterで流れていた話が中心で、ほとんどが既知の話です。URLがいっぱい出ていますが、紙媒体でURLを大量に掲げられても、見に行く気が起こらないという……。
深夜食堂 3
公開: 2011年10月8日18時45分頃
続けて購入。
- 深夜食堂 3 (www.amazon.co.jp)
竹の子族の話が印象に残りました。昔の若いモンは……。
あと、マスターにビーフストロガノフを作らせて、ずっとプチプチとか。
それからちくわキューリの話、マスターのこのモノローグですけど、
それからいつ来ても注文するものは同じだけど、決して常連ぶって「いつもの」なんて言わない。
これ竜ちゃんdisられてませんか? :-)
※竜ちゃんはこの巻でも「いつもの」と言ってウィンナー炒め大盛りを注文しています。
大つけ麺博 その3 麵屋こうじ / 特濃つけ麺
公開: 2011年10月8日18時35分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その3。
今回は「麵屋こうじ (dai-tsukemen-haku.com)」を選択。トッピングは全部入りだと500円でカボチャがついていたりするようですが、300円のトッピングを選択。ネギ、メンマ、あぶりチャーシュー、煮たまご、鳥つくねがついてきます。
スープは魚介系ですね。カボチャがミックスされているそうですが、カボチャ感はあまりなく、普通です。
あぶりチャーシューと鳥つくねは、意外に合わないかも。初期状態でチャーシューが一枚入っているので、ちょっと肉が過剰です。ってこれ昨日と同じ過ちなのですが、初期状態とトッピングの内容は事前には分からないので、買ってみるしかありません。
※チラシやサイトの写真は実際のものと異なる上に、トッピングの情報は無いので参考になりません。誰かが買ったものを観察するしかありません……。
煮たまごは美味しいです。まあ、この手の半熟味付け煮たまごがまずいわけがないのですが。
つけ麺としてはオーソドックスな構成で、美味しかったと思います。
- 前(古い): 2011年9月28日(Wednesday)のえび日記
- 次(新しい): 2011年9月30日(Friday)のえび日記
