電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件

関連まとめ: iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ」 http://bit.ly/boT5PM 「iPhoneアプリ 電波チェッカーに脆弱性とかプライバシー上の問題あるんじゃないの?」と疑っていたら「個別に説明するのでぜひ来社を」と誘われたけど実質NDAなど条件面で疑問が残り更に公開されたくないらしい「ノウハウ」とやらが怪しく感じたやり取りのまとめ。 上記関連とは本筋ではないので別にしました。 話の流れと一部のコメントがぐだぐだなのは仕様です。
iPhone SoftBank ソフトバンク 電波チェッカー 宮川潤一 UDID
21846view 63コメント
32
宮川 潤一 @miyakawa11
@rocaz きちんと説明する責務はあるかとは思いますが、弊社も企業故、開発の中身までは本twitterでのやり取りでは公開しかねます。弊社来社戴ければ、NDAサインは戴きますが、中身の説明は真意致します。いかがでしょうか?
ROCA@萎縮済 @rocaz
@miyakawa11 ?? 一般ユーザーが「どうして安全なんですか?」と聞いているだけなんですけどね。NDAまで必要と言うことはつまり仕組みがばれると脆弱性が突かれる程度の仕組みなんですね、という感想です。この一連の流れを注目しているエンジニアの多くはそう思っていると思いますよ
宮川 潤一 @miyakawa11
@rocaz うーん、仕組みを公開する事がこの Twitter上では嫌と申し上げるのはダメなんでしょうか?私はどうしても嫌なんですけど。
ROCA@萎縮済 @rocaz
@miyakawa11 どうして嫌なんですか?嫌と言い方であれば、「仕組みは安全です。詳細は内緒で第三者は検証できませんけど」というシステム使う方が嫌だと思いますが。何故世の暗号化技術がロジックまで公開されているのに逆に安全とされるか、という理屈と同じですよ
宮川 潤一 @miyakawa11
@rocaz 弊社のノウハウだからです。きちんと説明致しますから、ご来社いただけますか?日々真剣に開発しています。自信を持って大丈夫と確信しております、企業が仕事としている中身、其れくらいの情報管理はご勘弁いただけませんか?
ROCA@萎縮済 @rocaz
@miyakawa11 NDAにサインさせられて今後この問題について具体的に発言したりできなくなるのはごめんです。また私に対してご説明する用意はある、とのことですが、実際現在相手をされているのは、自覚があるなしに関わらずネットコミュニティ全体です。お忘れ無きように
ROCA@萎縮済 @rocaz
@miyakawa11 別にコーディングを見せろという話ではなくて単にロジカルに安全性をご説明下さいというだけなんですが、何故難しいとおっしゃるのか皆目理解できません。ノウハウは詳細にせずに論理的な部分の説明をすることは一般論として何ら難しいと思わないのですが
宮川 潤一 @miyakawa11
@rocaz それでは個別に対応致しましょう。サイン無しで結構です。他のユーザ様の不安が少しでも解消できるなら、それも責務です。ご来社くださいませ。汐留本社
ROCA@萎縮済 @rocaz
@miyakawa11 確認させて頂いて「やっぱり駄目だった」と判断した場合には、何が問題かTwitterなどで話すことは問題ありませんか
ROCA@萎縮済 @rocaz
御社より受けた説明や情報は無条件で公表できるという理解で了解しました。ご配慮ありがとうございます。また後日スケジュール他含めてご連絡させて頂きますね RT @miyakawa11: @rocaz はい、結構です。
宮川 潤一 @miyakawa11
@rocaz はい、セキュリティの脆弱性の可否のみの公開でお願いします。その他ノウハウは企業情報なのでダメですよ。勿論ご理解戴ける御仁と理解していますが。お待ち申し上げます。会社受付にてご指命くださいませ。宮川
ROCA@萎縮済 @rocaz
@miyakawa11 それを聞いていたのですが。何が秘匿したいノウハウかはこちらでは判断しかねます。訴訟されても嫌ですしね。何を提供するかは判断して下さい。私はお聞きしたことをそののま判断し公表するのみです。その上で詳細をお伺いできず「駄目だ」と判断する可能性も当然あるでしょう
ROCA@萎縮済 @rocaz
@miyakawa11 という前提で「そちらから受けた説明・情報は全て公開してもよい」という条件であればお伺いしたいですし行く意味もあると思います。そうでないのならNDAがあることと同じ事ですよ
ROCA@萎縮済 @rocaz
中国の工場で必死に形状変更に対応したり過労死しそうになっている人はいなかったんだ。よかった
宮川 潤一 @miyakawa11
@rocaz 勿論、許容範囲のご説明をきちんと致します。ある程度踏み込んだ説明をしなければ、本件は、ご理解頂けない内容があるので、ここまではOKですが、此処からはNGとお伝え致します。NG内容は当然NDAと同扱いに致します。其れくらいは宜しいですよね?
ROCA@萎縮済 @rocaz
@miyakawa11 NG内容は聞きたくありません。その上でご説明可能ですか?
ROCA@萎縮済 @rocaz
@miyakawa11 そのNG内容とやらを聞かないと安全性が理解できないというのであれば、これは御社は安全性をコミュニティに保証することは論理的には不可能だと言うことを意味します。そこはご理解頂けますか?
宮川 潤一 @miyakawa11
@rocaz それでは多分ご理解戴けないと思いますよ。お客様にご安心してお使い頂く事がご説明の場を持つ趣旨です。目的は同じですよね?それとも違う?
ROCA@萎縮済 @rocaz
@miyakawa11 私個人を納得させることを目的とされているのだとしたらそれは些細な問題で無視してもいいような話です。パブリックなネットコミュニティを納得させる。これが目的だと思いますがいかがですか。もちろんそのために私が触媒になるのはやぶさかではないのです
宮川 潤一 @miyakawa11
@rocaz 本セキュリティに関する問題は、仰る通り相手に伝えなければ解消できない、よってコミュニティが重要なポイントです。きちんとご理解戴きたいのは山々なのですが、その方法まで語るには、何もtwitter上で公開する事が適切では無いと自身では判断しています。
ROCA@萎縮済 @rocaz
【募集】「おれおれ暗号」は如何に脆弱かという例を示したい。んだけどいいURLが見つけられない。昔そう言うのが話題にもなったんだけどどっかになかったっけなー
ROCA@萎縮済 @rocaz
@miyakawa11 これは証明可能安全性の問題ですね。これを立証できないのであれば高木さんの指摘に反論できない訳ですから「電波チェッカーは安全」とは御社は確実には主張できないはずです。例えば「詳細なロジックが公開されなかった独自暗号」 http://bit.ly/cwsJ4c
ROCA@萎縮済 @rocaz
@miyakawa11 眠くなってきたので(笑)ぶっちゃけますが、つまり「NG」「ノウハウ」と表現されたものが知れたとたんに誰でも偽装アクセス可能になるような「脆弱なロジック」を単に隠したいだけなのだろうと私と恐らくは私以外のコミュニティの面々も踏んでいるのです
残りを読む(4)

コメント

藤堂考山 @ko_zan 2010年6月9日
Twitterの弱点。圧倒的な匿名の悪意に弱いところ。サービスの中身を見せるのに、NDAを結ぶなんて当たり前すぎる話なのに、社会で働いた事ないんだろうな。そういう奴は、分をわきまえて発言をすべきじゃないんだよ。本来はね。こういう勘違いがネットで横行してるから、ネットが敵視される。本当に迷惑な奴らだ。
syaku_t @syaku_t 2010年6月9日
これ、酷いねぇ。NDA巻くのは「あなたには秘密をお知らせしますが、自社開発したノウハウ部分とか他社に渡したくないような情報もお見せすることになるので、その辺理解してよね」って意味だと理解したんだけど、この人「NDA=言えない秘密」だからおかしい!と曲解しているとしか思えない。
11HIGH @11high 2010年6月9日
セキュリティのようなユーザーに影響の大きい問題なら企業の説明責任は当然なんだけど、素人さんには細かい事情がよく分からないから上記みたいな勘違い意見も出てくるんだろうな。難しいね。
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月9日
togetterのつぶやきコメントはヤバいな。「security by obscurity」の話をしているのに、それを理解できない事をid付きで大宣伝しちゃってる。
椎路ちひろ @ChihiroShiiji 2010年6月9日
security by obscurity : 隠すことによるセキュリティ (参考: http://bit.ly/tXZgu 英語版Wikipedia…日本語版Wikipediaにこの項目はない?)
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月9日
この話のポイントは「なんだか訳の分からない専門家も想像不能な新技術でセキュリティは保たれています。信じて」は通用しないってことがとっくの昔に議論し尽くされているってことか。iPhone UDIDを認証につかってはいけないこともさんざん書かれているけど、知らない人がたまにいるみたいだ。
椎路ちひろ @ChihiroShiiji 2010年6月9日
.@masanari100 [ http://bit.ly/dxh1ZR ]取り敢えず、宮川氏は取締役専務執行役員 兼 CTO(最高技術責任者 - http://bit.ly/96u0vm )だから普通の会社員じゃないと思うなぁ。
ぼくドラえもん @masanari100 2010年6月9日
twitterでのやり取りでは公開しかねます。 あって話したい って低姿勢でいってるんだから なんにせよ。相手の意図を組むべし 公開うんぬんも会って話せばいいでしょ。
闇ぶいれこ @yami_vreco 2010年6月9日
最高技術責任者のセキュリティに対する理解度がこの程度というのは、非常に残念だなぁ……
椎路ちひろ @ChihiroShiiji 2010年6月9日
もしTwitterという媒体だけの問題であって、公開できないことが本質、つまり「隠すことによるセキュリティ」に頼ろうとしてる、というのでないなら別にSoftBankのWebページで公開してくれてもいいと思うんだけどね。
腹痛二郎 @kagurazaka1019 2010年6月9日
最近自分で自分の発言をまとめる人に痛い人が多いという法則ができつつあるような気がしますよ・・・
オノ サトシ @ono3104 2010年6月9日
要は「ノウハウ=ばれたら破られるセキュリティ」じゃなくて「ノウハウ=会社の財産」でしょ?そんな事もわからないの?ばかなの?
ROCA@萎縮済 @rocaz 2010年6月9日
僕を痛い人認定する分には構わないよ。○○工作員て煽りでしかないし。でも議論の本質にも目を向けてね。印象や感情論ではないんだよ。これは小さな問題かも知れないけど後々の災いの前触れかも知れないよ。印象だけで目を背けず自分と意見の違う人が何に拘ってるかぜひまずは理解する努力をして欲しい
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月9日
もし仮に「ノウハウ=iPhone UDIDだけじゃない何かの画期的なシステムで安全を保ってる」というのであれば、それを隠すんじゃなくて特許などで保護して、セキュリティ監査を受けないと。そうじゃないと「隠さないと問題が有る = 安全じゃないことがバレるから言いたくない」と区別がつかない。……こんな議論は15年ぐらい前に終わってるから、勉強してからコメントしないとid付きで大恥さらしだよね。
イスラエルエリカちゃん @syuu1228 2010年6月9日
@rocazさんはマトモなことをおっしゃってると思うのだけれども、何で痛い人認定されてるのか良く分からないな。
mish🐻 @mishing 2010年6月10日
「ばれたら破られるセキュリティ」の話をしたいのに「会社の財産」の話に持っていかれるということは、(1)天然にごっちゃになってる、(2)ごっちゃになる方向で誤魔化そうとしている、(3)「会社の財産」と「ばれたら破られるセキュリティ」は不可分なものである、のいずれかで、これらの状態はいずれも問題があるということなんだけど。
藤堂考山 @ko_zan 2010年6月10日
「なんだ、こんな事も知らないのか?」「~年前にそんなことは議論し尽くされた。」という話と、一般の社会に於けるNDAの取り扱いついて、異常に乖離があるな。だから、「働いた事、無いのか?」と思ってしまう。痛い人認定したくなるのも、結局「知識」の範囲内で現実を見ずに議論してるからだろ?他社への想像力の問題だと思うんだけど?議論以前にね。
lastline@オバケコンバット @lastline 2010年6月10日
これもしや、例のCAB暗号なんじゃね?
藤堂考山 @ko_zan 2010年6月10日
「現実を生きてる人じゃないと分からないこと」に対して「ネットの中でがなってるだけで現実で活動してないネットの中の情報だけで分かった気になってる人」がなんか言ってても分かるんだよ。そして、みんな自分が優れてると言いたがる。どれだけ自意識が過剰なんだかwww
イーソップ @AES_OP 2010年6月10日
ネットに生きてる人 とやらを差別的に見たいだけなら、最初からネット上の質問なんて無視すりゃいいじゃん。わかってる人がいて、わかってない人がいるなら、わかるように説明するのも、自称知識人としては当然の行為なんじゃないの?その答えが「社会に出ろ」なら、もうそれはその人個人の事情なんだからで議論は終。
藤堂考山 @ko_zan 2010年6月10日
全然、差別的に見たいわけじゃない。「ネット」と「現実」は別じゃなくてつながっている訳で、すぐそういう言説に持っていってただのレッテル貼りにしようとするが、これは、人格の問題だろ。一般社会とネットは一緒なんだよ。NDAでも何でも結んで、話を聞きにいけばいいだけの話。NDAで人が不幸になった話しなど聞いた事が無いので。
@tarsho08 2010年6月10日
つぶやきコメントの議論が少々的外れな気が…これはセキュリティの話ですよ。仕組みを公開できないセキュリティよりも仕組みを公開できるセキュリティの方が安全、かつユーザーが安心できるということはご理解いただけるでしょうか…NDAという言葉が出てくること自体おかしいんですよ。「仕組みは秘密です!でも大丈夫です!」こんなこと言われて安心できますかwこの方がNDAを拒否されてるのは自分だけ理解しても、それがユーザー全体の不安を取り除くことにはならないと考えておられるからではないでしょうか。
レベッカ・マーティア @Apsis9361 2010年6月10日
おそらく情報やデータなどの「見えない商品」を扱う企業にとっては永遠の命題なのではないでしょうか?明確に認識できないものが存在する事自体が、ユーザーの不安の根源になっているのではないかと思うのですが・・・。 しかし社長さんはその情報の公開をTitterでは行いたくないと言っているだけなので、立場の問題なんじゃないかと思うんですよね。ユーザー視点での話については前のコメントでtarsho08さんがおっしゃる通りだと思います。どこかでそれを提示する場があれば良いのですが・・・。
syaku_t @syaku_t 2010年6月10日
飲食店に置き換えてみると「ここの隠し味、なんか変なもの使ってるんじゃない?」に対し【門外不出のレシピなのでおおっぴらにお教えできません】と。「じゃあやっぱりおかしいんだ!怪しい!」→【いやいや、情報漏えいしないと約束してくれたら特別にお見せますよ。】→「おおっぴらに出来ないってことは、やっぱりおかしいじゃん!」ということか。文句あるならNDA結んで見せてもらえば済む話なのに。
11HIGH @11high 2010年6月10日
@ko_zan 「〜年も前に議論され尽くしてる」のはNDA盾に情報開示しないセキュリティは信用できないという一般常識。だから話はずれていない >NDAで人が不幸になった話など聞いたことがない 世間知らずすぎ。NDAが企業では何のために使われるのかも知らないとは。ちゃんと就職してからもの言った方がいい。気付いてないと思うけどネットとリアルは同じなんだからさ
11HIGH @11high 2010年6月10日
@syaku_t kyoumoeの安い受け売りだと思うけど本当に体に悪いものが入っているのならNDA関係なく開示すべきが企業の責務。でなけりゃどっかの肉加工業者や雪印が潰れたりはしなかったよ
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月10日
@ko_zan さんは"full disclosure"という言葉を調べれば、自分がつぶやきコメントでどんだけ大恥さらししてるのか良く理解できると思います。
syaku_t @syaku_t 2010年6月10日
エンジニアではないので「一般か」どうかはさておき、full disclosureの意味は把握した。でもまぁ、SBMの宮川さんに対してtwitter上で公開しろと詰め寄られても、こう返すしか無いだろうとも考えられないかな。CTOがその立場で「個人として」軽々しくは対応出来ないから「会社として問題なく対応出来る範囲」としてNDAを持ち出してるのではないかということだが。
11HIGH @11high 2010年6月10日
@syaku_t 宮川氏が批判されているのはまさにそのNDAを持ち出すしかなかった点なのだが。だからちゃんと論点理解してから発言しなよ。君が結果だと思っていることが原因で、それは君が理解していないのが問題なのであって他の人は何も関係ない
syaku_t @syaku_t 2010年6月10日
であればこのケースの模範解答を問いたい。自分がSBMのような大きな会社のCTOの立場であればどうすんのか。「善処します」ではぐらかす?そもそもtwitterみたいな場でこの手の話題を「相手にしない」?わかってない僕に教えてください。「そもそも開示しろ」という話ではなく、NDA以外の方法だとどうすんのか。
11HIGH @11high 2010年6月10日
自分で考えれば?
syaku_t @syaku_t 2010年6月10日
へぇ。格好いいですね。
11HIGH @11high 2010年6月10日
上の方でいろんな人がアドバイスしてくれてるんだからちゃんと読み返せばいいと思うよ
藤堂考山 @ko_zan 2010年6月11日
@otsune "full disclosure"・・・要は、これを盾にする論法で企業に疑いを立ててクレームを入れれば、企業はソフトウエアのすべてのレベルでオープンにできると。つーか、その議論のもっと手前の話だろ。持ち出すネタが「アレ」過ぎる。「個体情報を送信してるソフトの仕様」に疑義が投げかけられた段階で、セキュア問題にもっていくのは強引すぎるだろ。
藤堂考山 @ko_zan 2010年6月11日
@otsune そもそも、個体情報がどのレベルで脆弱性にあたるのかという話が、一方的な決め付けで議論が進んでる事をちゃんとみてるか?だから、分ただのクレーマーだと言ってる。そんなクレーマーに寛容な対応をしてる宮川氏を批判してる奴は、アホかと言いたいだけ。
藤堂考山 @ko_zan 2010年6月11日
@otsune それを本当に脆弱なシステム隠していると暴きたければ、実際に足を動かして取材しにいけばいい。想像と決め付けを交えた議論ほど空虚なものはないし、NDAでも何でも結べばいいじゃない?企業の不正を暴きたいんでしょ?安全なところから文句を言うのは誰でもできるよ?
藤堂考山 @ko_zan 2010年6月11日
@otsune あと、他者への想像力欠如問題もあるよね。他の人のコメントにも言及があるけど、お前が宮川氏の立場だったら、どう答えるんだ?問題。フルディスクロージャーの話よりも、遥かに素朴で重要な問題だと思うけどね?人間として。
藤堂考山 @ko_zan 2010年6月11日
悪いけどユーザーレベルで考えられている問題ってのは、ある種の決断主義的な流れで企業が推進している問題だったりする。そこには様々な事情があるはずで、勝手に勘ぐるのは自由だけど、それが事実かどうかは、「安全な場所」からじゃわからないし、そこからじゃ声も届かないってことだよな。
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月11日
@ko_zan とりあえずiPhone UDIDだけを個人識別や認証に使っちゃいけない理由は http://takagi-hiromitsu.jp/diary/20090802.html#p01 に書いてありますけど、一度で良いから読んだ事有りますか? あとその手の話は15年前に終わってるんでFAQを検索した方が良いですよ。
藤堂考山 @ko_zan 2010年6月11日
@otsune このブログを読んだことなかったら問題なの?高木浩光なんて奴知らないし。そんなに物知りの「専門家さん」なんだったら、それこそ、NDAでもなんでも結んで、「俺のところで完璧なソフトウエアつくってやるから、う依頼しろ」くらいなこと言ってこいよ。俺が気に入らないのは、外野ではいくらでも言えるってこと。当事者になってみろよって話。
11HIGH @11high 2010年6月11日
@ko_zan そもそもID送りつけるだけで認証にならないのは自明の理。お前が知らないだけで多くの議論を経て結論出てることなんだよ。お前は議論の余地があることにしたいようだが、ねーよ、そんなの。のこのこ聞きに行くのが大事じゃなくて公に論理的に説明できない時点で決定的なんだよ。なんで事実を無視したいの?所詮間違ってるのを認めたくないからそこの話にしたいだけだろ。
11HIGH @11high 2010年6月11日
@ko_zan 他のお前の意見も矛盾だらけだ。NDA結んでどうやって脆弱性を暴露するんだよ。個人レベルで確認しても意味ねーだろ。利用者全体で確認出来なきゃ意味無い。しかも他者への想像力問題?お前がSBにすりよるのは勝手だが他人が関係ないだろ。なんでユーザーがキャリアの都合を考えてやる必要があるんだよ。こっちはユーザーだ。そこの説明責任はキャリアだ。しかも「安全な場所」からとか大きな事言う割にはお前もどうせ確認なんかしに行かないんだろ、チキン
n-yoshi @laresjp 2010年6月11日
NDA は相互に利益がある場合にのみ有効で、片方に不利益が生じるなら単なる言論封殺の手段だよね。
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月11日
まだ「どこぞの省や独立行政法人や財団法人が認定マークを出す監査をして、代表でシステムに穴が無い事を確認するほうがいい」だとか「UDIDだけで認証してて危ないと思ったら、しかるべき公的団体に届け出して…」みたいな意見なら現実的に理解できるんだけどね。
11HIGH @11high 2010年6月11日
@ko_zan 所詮お前は最初にコメント付けたら煽られて暴れてるだけのチキンのクレーマーだよ。現実世界に対して評論家きどってるだけだな。他の人たちの優しいアドバイスを読みも理解もしてないのがその証拠だ。現実でどれだけ不幸なのか知らないが、そうした対応が現実でもきちんとできない奴がネットやるのは無理だよ。
@ChaoticAliceFox 2010年6月11日
とりあえず本題からズレて喧嘩腰で煽るのやめようよ それじゃいくら内容が正しくても自分の評価下げるだけだぜ?
高橋雅奇 @TakahashiMasaki 2010年6月12日
内容よりもこのコメ欄のほうが面白かった
いなんず(Zerothrack) @inanzu 2010年6月13日
情報非公開契約以前の問題として「仕様書を正しく理解し、脆弱性を吟味できる人」じゃなきゃ、突っ込みいれた所で何も役立たずも良い所かと。もしコミュニティ云々いうんなら、脆弱性をわかる奴=代表者を選んで行かせりゃいいじゃない?何でネットコミュニティはそういう活躍のできる人を作らないんだ?
いなんず(Zerothrack) @inanzu 2010年6月13日
「セキュリティの専門家じゃないとわかんない、けど一般公開すれば誰かわかる人が居るかもしれない」ってのは、セキュリティの専門家と言う人たちは餌撒いとけば集まってくるスズメか何かと同じ扱いじゃないか・・・。そこまで失礼なのはどうかと思うぞ。
いなんず(Zerothrack) @inanzu 2010年6月13日
機知の問題を抱える人々に、適切な人物を紹介するのが凸の正しいやり方なんじゃないのか?
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月14日
@inanzu そのあたりの議論も"zero day attack"とかで検索すればかなり昔に終わってますよ。その議論の結果でCERTなどの届け出団体が出来たはずです。
いなんず(Zerothrack) @inanzu 2010年6月14日
その辺の問題というのは、ハッカー雀にえさ撒いておけばJPCERT/CCやIPAを説得出来ずとも短時間で労働力対価を犠牲にして脆弱性は解決するという意味ですかね。
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月14日
@inanzu たとえば「とあるツールがiPhone UDIDを認証がわりにつかってて脆弱性の可能性が想定される」ことに気がついたら、それを検証できる専門家が見ているメーリングリストなどで報告するのは良く有るんじゃないでしょうか。いきなり「こうすれば他人の位置情報がぶっこ抜けるぜ」とzero day attackを公開する悪質な輩よりはよっぽど対処のしようがありますよ。
いなんず(Zerothrack) @inanzu 2010年6月14日
その上で、この議論は検証過程を自ずから拒否してないかと言っている訳。NDA締結をした上で脆弱性を回避する試みにでればいい。「NDAがあるので行けません」というのは単に玄関の前で出かけられない子供みたく騒いでるだけ。
11HIGH @11high 2010年6月14日
@inanzu そんな頭の悪い君や@ko_zanみたいのがのこのこ出かけていって安全だったとか言っても誰も信じられない訳だが?かつ誰が代表者として適切だって言いたいの?それなら幾らでも脆弱性隠したい企業は出来レースでマッチポンプ可能だよね。実際今回も明示できない仕様が問題だったのが明白になったの理解してる?
11HIGH @11high 2010年6月14日
NDA締結を嫌がっただけとしか見てないうちは今回の議論に参加するのは難しいと思うよ。@ko_zanもそうだったけど、それでどうなるか実際自分で締結してでかけてきて試してからもの言いなよ
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2010年6月14日
「企業がNDAで口封じしようとする」「ご指摘ありがとうございました。今後の運営の参考にさせていただきます→放置」問題も、とっくに昔の議論で解決済みですよ。だから「NDAぐらい結べばいいじゃん」とか言ってる人は、その時点でFAQすら読んでない前世紀の議論を蒸し返しているよなぁ。……と思える訳です。
stonehead @hogehoge1192 2010年6月14日
基礎的知識がない人ある人の意識の乖離が激しすぎる。高木氏も知らなような知識や認識でセキュリティに関しての能天気な認識をそのままここでID入りでコメントするのはあまりにも恥さらしになる・・・ うーん
ミィム@糖質制限中 @happylab 2010年6月14日
NDAって義務が生じるんだよ。単にサービスとして情報提供します、って言ってるのに。きちんと情報を理解できる人を立てて、必要な情報だけを受け取ることができれば、NDAなんて必要ない。
@tarsho08 2010年6月16日
むしろここのコメントを題入りでまとめなおしたい
葉山逗子鎌倉愚民♪ @Shinskys 2010年11月24日
突然ここにたどり着き、どシロウトなんだけど面白く拝読。コメント読み始めて、最初@rocazさんがバカ言ってるのかと勘違いしちゃいましたが反対なんですね(^^;; ついでに、今まで名称等は知っていてもどういうことかわからなかったUDIDやセッションIDについて勉強でき有意義でした。
@hrjn2 2010年12月29日
まぁ普通に考えて公開しないで良い情報は公開しないというのは普通だと思うな。それこそ万が一セキュリティに問題が会った時に被害にあうのは善良なユーザなわけで。(zero day atackされたら困るよね) 正義感に燃えるのは素晴らしいと思うけど、安全だと思えないのだったらなおさらtwitter上で公開させるようなことはさけるべき。 自分の自己満足のためだけに善良なユーザを危険に晒すわけにはいかない。
ログインして広告を非表示にする
ログインして広告を非表示にする