Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Namazuv2.0.7 にクロスサイトスクリプティング脆弱性
寺西です。
"TAKAGI, Hiromitsu" wrote:
>
> なにとぞ、的確な方法でできるだけ多くのNamazuユーザにアップデートの必要
> 性を伝えて欲しいと思います。
的確な方法とは具体的には、どのような方法があるのでしょう。
なかなか難しい話のように思えます。
> メーリングリストの運用状況を拝見したところ、namazu-users-ja はあるもの
> の、これは情報交換用のメーリングリストで、namazu-announce-ja といった
> 告知用のリストが用意されていないようでした。既に安定した運用に入ってい
> るユーザ達は、おそらく namazu-users-ja を購読していないのではないでしょ
> うか。
その人達は、namazu-announce-ja なら購読するのでしょうか?
やっぱり購読しないのではないでしょうか。分かりませんが。
> ぜひとも告知用のリストを用意されて、今後見つかり得る脆弱性に適切な告知
> ができる体制をご検討いただきたく思います。これは、Namazuの問題としてだ
> けではなく、セキュリティ脆弱性が存在し得るすべてのソフトウェアの配布体
> 制のお手本となっていただきたいという私の願いです。
この辺りの話も、正論だと思いますが、少なくとも
eコーマースサイトでNamazuを使っているのであれば、その管理者は、自ら
神経をとがらせてセキュリティ情報の収集を行うべきでしょう。
逆に安定動作しているからと言って、namazu-users-ja 等をチェックしない
セキュリティ情報を収集しない人には、eコーマースサイトを管理して
もらいたくはないですよね。
これは Namazu に限らない話ですけど。
しかし、セキュリティ情報を効果的に伝える方法は、考えなければ
ならないのは確かですね。公的機関でそういう情報を公開する場って、
ありませんでしたっけ?
--
寺西