0315名無しさん@お腹いっぱい。
2018/01/13(土) 15:24:40.64ID:4S+O9PV9developer.blender.org/T52924
・たろメール「ファイル読み込みで脆弱性19個ハッケン!修正どうぞ」
・Ton「情報提供ありがとう。でも報告してくれた脆弱性は極端な例だし、机上の空論でしょ。まあ議論は公開の場でどうぞ」
・たろ「はあ?我々の主張は決して空論などではなく実際にblenderのクラッシュを引き起こせるんだからね。ほれ」
・Ton「でもそれって意図的な妨害によって起こるものだよね、そういう状況は普通起こらないという点でそんなのは絵に描いた餅なのよ」
・たろ「クソが・・・かくかくしかじか、スルーするな」
・Ton「スルーするなと言われましてもそこの対応をボランティアでやれと?我々BFが資金投じて対応する理由はないよ(だってOSSなんだから)、ちなみにそっちが手伝ってくれたりするの?」
・Brecht「まあまあ、実際問題そういう攻撃を防ぐものは現状ないけれど、でもそれって別のアプリでも同じことが言えるでしょ。ファイルロード時にスクリプを埋め込んだり…
あとCGのアーティストでこういうことができる危険性に気づいてない人がいるというのはそれはそれで問題です、ですが、その対応は時間の無駄でしかない。」
・Ton「昨日、>>304がポストされました。Brechtの発言はあくまで個人の感想です。BFが今回の脆弱性のレポートを足蹴にしたという公式発表ではありません。この手の答えは簡単には出せない」
・Brecht「ですね。BFを代表して言ったわけでもなく、脆弱性を真剣に捉えてないわけでもないです。
たとえファイル読込を安全にしようということで今回の問題に対応したとしても、外部の信頼できないシーンファイルをロードすることにリスクはついて回るわけで、
問題に対処したから安全だと間違った理解をするのは禁物で。このことをユーザーはしっかり把握しておかないといけません。
