2004-06-21 [長年日記]

1 日本Snortユーザ会 BoF開催のお知らせ(snort.gr.jp)

snort.gr.jpで正式にアナウンスされてます。2004/7/1の18:30から。

2 2:8の法則

リンクしたところは検索して一番シンプル且つ思ったような内容だったとこ。

テレビで子供を使って片付けさせる実験をしていて、片付ける子供は見事に全体の2割という結果。さらに片付けた子供を部屋から出して、再度同じ実験をしたら、子供の面子はいっしょなのに片付けた子供は同じく全体の2割という結果になったという感じでした。

その実験はともかくとして、なんとなくこの法則は分かるような気がしてます。そして、いろんな場面にあてはまるような気もします。

あと、私はどちらかというと上での実験で言うと2回目の実験で片付ける方に入るようなタイプだったり。積極的に動く人がでてきたら活動を停止するような感じ、いやむしろ動く人がいなそうだと活動を少し開始するという感じかなぁ。

3 Hikiの脆弱性

で、脆弱性を回避するために 0.6.4 以降または 0.7-devel-20040618 以降にアップデートが必要。

ところで『脆弱性対策コードのコミットの時期』って、議論とかされたのってありましたっけ。どちらかという脆弱性公開に関する議論(それ周辺で言えばセキュリティ脆弱性情報等の公開ポリシーに関する資料(PDF)(IPA)がまとまってるかな)は見かけるけど。

脆弱性の影響範囲が大きいと、脆弱性の告知と対策パッチのリリースをCERT/CCとかが絡んで多くのベンダーが横並び的な形になる場合もあれば、マイクロソフトみたいに顧客の要望に基づいて対策パッチの容量削減や月1提供といったスタンスも。脆弱性を追ってきた感覚で言うと、結局のところリリースにあわせるか、影響が大きいときはリリースしちゃうか、脆弱性告知されて慌てちゃうか、ちょっとした問題にはとりあえずなパッチといった具合で、ケースバイケースという感じがするなぁ。

でも、本当に実際のところはどうなんだろう。素朴な疑問だ。

そいやruby-list:37370(Secure「ではない」script の書き方)のスレッドを後で読もう。業務周辺でruby使ってるとこがないから気にしてなかった。

[]