Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Namazuv2.0.7 にクロスサイトスクリプティング脆弱性



寺西です。

"TAKAGI, Hiromitsu" wrote:
>  
> なにとぞ、的確な方法でできるだけ多くのNamazuユーザにアップデートの必要
> 性を伝えて欲しいと思います。

的確な方法とは具体的には、どのような方法があるのでしょう。
なかなか難しい話のように思えます。
 
> メーリングリストの運用状況を拝見したところ、namazu-users-ja はあるもの
> の、これは情報交換用のメーリングリストで、namazu-announce-ja といった
> 告知用のリストが用意されていないようでした。既に安定した運用に入ってい
> るユーザ達は、おそらく namazu-users-ja を購読していないのではないでしょ
> うか。

その人達は、namazu-announce-ja なら購読するのでしょうか?
やっぱり購読しないのではないでしょうか。分かりませんが。
 
> ぜひとも告知用のリストを用意されて、今後見つかり得る脆弱性に適切な告知
> ができる体制をご検討いただきたく思います。これは、Namazuの問題としてだ
> けではなく、セキュリティ脆弱性が存在し得るすべてのソフトウェアの配布体
> 制のお手本となっていただきたいという私の願いです。

この辺りの話も、正論だと思いますが、少なくとも
eコーマースサイトでNamazuを使っているのであれば、その管理者は、自ら
神経をとがらせてセキュリティ情報の収集を行うべきでしょう。

逆に安定動作しているからと言って、namazu-users-ja 等をチェックしない
セキュリティ情報を収集しない人には、eコーマースサイトを管理して
もらいたくはないですよね。
これは Namazu に限らない話ですけど。

しかし、セキュリティ情報を効果的に伝える方法は、考えなければ
ならないのは確かですね。公的機関でそういう情報を公開する場って、
ありませんでしたっけ?
--
寺西