『特集1 Junit,Jameleon,Scarabに迫る!最新テスト手法 調査隊』がちょっと気になる。
かずひこさんのところで、Hikiの脆弱性に対する深刻さのアピールが足りないとツッコミが入っているけど。足りないかなぁ。
情報が流れた場所をあげると、
・Hikiのオフィシャルサイト
・ruby-list
・slashdot.jp
・セキュリティホールmemo
深刻さのアピールと告知場所が関係しているかを判断するのは人それぞれだけど、Hikiのそれなりの利用者は一度くらい目に入るところで告知がされているように思うなぁ。それなりじゃない利用者へのアピールは、何にしたって難しいけど。昔と違って個人サイトや日記からの情報伝搬もあるし。
告知内容が不十分か?これは『遠隔から第三者が Hiki の CGI プログラムを実行しているユーザ権限を取得する可能性があります。』なんで、それなりの利用者は危険性(深刻さ)を察知できると思うなぁ。
深刻さの更なるアピールってどんななのかな。
告知場所も告知内容も上を目指せば目指せるのかもしれないけど、過剰な取り組みは他の問題を生みそうな気もするし、努力に見合う効果も薄らいできますしね。この手の意見は100人いたら100人違うのかも。
様々な管理者と接する事が多いのですが、経験上やらないやつはやらない。その中にはペナルティ要素があると動き出す人がいる。それでも、やらないやつはやらない。まぁそいう所はやられても気づかない場合が多いと思うので、不幸な思いをしないままが多いというのがポイントかな。