AsusのプリインストールドライバにワンクリックRCEの脆弱性発覚!
引用元:https://news.ycombinator.com/item?id=43951588
Responsible Disclosureとかいうやり方、マジで人類にとってひどいことになってるよ。企業ってさ、もっともっと痛い目に遭わないと、ユーザーのセキュリティを本気で考えないんだってば。問題教えてあげて、1ヶ月も待って、解決策まで手取り足取り教えるなんて、会社のバックログに登録されるチケットが一個増えるだけ。でも、ちょっとしたセキュリティ問題も全部オンラインで騒ぎになって、CEOが出てきて数時間で解決しろってなったら、もっと積極的に動くようになるだろ。まあ、ユーザーはさらに大変になるけどさ。あ、でもASUSの製品買ってる時点で、もう十分苦しんでるか(笑)
”Responsible” disclosureって、名前と逆で完全に無責任なんだよな。ほとんどの企業は情報開示の対応がヘタクソで、すぐ(1週間とかで)直さないし、ちゃんと報告しないし、ユーザーにも知らせないし、失敗から学ばない。責任を遅らせた限定的な開示は、そういう企業の態度を助長するだけ。本当に責任ある行動ってのは、すぐに、全部、公開すること(匿名でもOK)。企業がちゃんと対応できるって何度も証明して初めて、数営業日とかの超短い猶予期間を得る権利が生まれるくらいだね。この無責任な遅延限定開示が”Responsible disclosure”って呼ばれてるなんて、まさにニュースピークだよ。
俺はソフト開発してるんだけど。もし脆弱性を見つけたら、なんで俺にメールしないで、俺の数万人のユーザーを危険に晒すわけ?メールくれたら1時間で脆弱性直して、それから公開できるじゃん。企業がすぐ直さないのは分かってるけど、事前の警告って…フェアじゃないの?
>なんでメールしないで、俺の数万人のユーザーを危険に晒すわけ?
君、逆だよ。脆弱性は存在してるんだから、ユーザーはもう既に危険に晒されてるんだってば。脆弱性のことを、報告した人以外に誰が知ってるかなんて分からないんだし。知られたらすぐに公開することで、ユーザー自身にどんな行動をとるか決めさせられるんだよ。会社の対応を待つか、一時的にサービスを止めるか、完全にやめるか。それはユーザーが選ぶこと。企業が脆弱性を直すまでユーザーに情報を隠すのは、自分の会社の利益を守るために、ユーザーが自分で判断する権利を取り上げてるだけ。「でももう直しましたから、使うのやめなくても大丈夫ですよ、アップデートだけしてください!」って言いたいだけでしょ。
1時間だって?(笑)普通、企業は数ヶ月も放置するんだよ。
でもresponsible disclosureってのは、「最初のメールを送ってから1週間(とか適当な期間)待って、それから公開」であるべきじゃないかな。
今回のASUSの対応はかなり良かったと思うんだ、別に問題なかったんじゃない?ASUSはバグを否定しなかったし、ソフトを解析した人を訴えようともしなかったし、すぐにソフトをパッチした。Responsible Disclosureなんて概念がなかった頃なら、この対応に何ヶ月もかかってたかもしれないし、警察が介入してた可能性だってある。普通の人は脆弱性なんて気にしないんだよ。3年もアップデートされてないスマホで金融取引してる人だって珍しくないし。もしニュースでCVEの話ばっかり流しても、みんな「あー、どの会社もダメダメなんだな」って聞き飽きちゃって、マジでヤバい脅威が出ても無関心になっちゃうだけだよ。EUは別の解決策に取り組んでるんだ。新しいサイバーセキュリティ規制で、既知の脆弱性がある製品はもう店で売っちゃダメになる。つまり、ASUSがまたヘマばかりしてたら、マザーボードが売れ残って店側もASUSのハードウェアを置きたがらなくなる。これはパソコン関連だけじゃなくて、スマート冷蔵庫とかスマート洗濯機も対象。食洗機に脆弱性が見つかって、ファームウェアアップデート機能をつけてなかったメーカーは、売れない在庫抱えて数百万ドル損することになるかもね。
もし脆弱性が、会社が他の仕事を全部ストップして問題に全力を注いでも、1週間以内に簡単に直せないものだったらどうするの?もし開示によってユーザーに被害が出る可能性が高まるんだとしたら、それってセキュリティ研究者と会社の間でちゃんと話し合って決めるべきじゃない?セキュリティ研究者は、どうやって直せばいいか大体分かってるだろうから、妥当な期間を与えてあげるべきだよ。直すのが簡単なら短い期間で十分だし、逆ならもっと長くね。
悪意のある奴が脆弱性を実際に利用する可能性を高めるってのは、やっぱり悪いことだと思うよ。責任をユーザーに押し付けてるのと同じじゃん。ユーザーは毎日使ってる何十個ものソフト全部のCVEなんて絶対見ないって。
>ユーザーに責任を押し付けてるのと同じ
それこそ会社が自分で作り出した問題だよ。本来あるべき姿は、研究者が会社に知らせて、会社がすぐにユーザーに情報提供することなんだ。それから会社が直す。でも会社の奴らは、ユーザーが危険な状態だってことをユーザーに知らせようとしないし、決まってない先の期日を待たない研究者のことを、危険な奴だって仕立て上げるんだ。>悪意のある奴が脆弱性を実際に利用する可能性を高めるってのは、やっぱり悪いこと
他の誰が既に何を知ってるか分からないんだから、これは証明できない憶測だよ(もう既に裏で悪用されてるかもしれないしね)。攻撃コードを公開するのが良いか悪いかの議論はもう十分やり尽くされてるし、この疑問にも答えが出てる。君はただ「曖昧さこそセキュリティだ」って主張してるだけだけど、それは間違った考え方だよ。
責任ある開示はベンダーにパッチ出す時間を与えるため。ほんとの脅威はスキルないけど公開情報で攻撃する連中。公開後に大量に出てくるからパッチ前に知られるとヤバい。だからパッチと同時公開が一番現実的。これでサービス中断せずにパッチ当てられるし、ユーザーも困らない。企業評判のためじゃなく、みんなを守るためだよ。
ビジネスアイデア思いついた。もうあるかもだけどさ。
・報告者のプライバシー保護
・脆弱性チェック。公開するのは全部悪用可能なやつ。
・決まった周期で公開。
・企業はお金払って”早期フィード”購読。その金で報告者、経費、利益。
ちょっと企業にケンカ売る感じのバグバウンティ市場?これ合法?恐喝?
tens of thousandsものユーザーを危険にさらしたのはお前ら(企業)だよ。バグをソフトに入れた連中であって、それを見つけたやつじゃないんだ。
”新しいサイバーセキュリティ規制下では、既知の脆弱性がある製品は店で売っちゃダメ”って話だけど。
店は顧客に出す前に既知の脆弱性をパッチしなきゃいけないの?それとも顧客が自分でパッチできるの?
脆弱性がすぐ直せないなら会社はペナルティ受けるべき。サービス止めるのもアリ。そうすればちゃんとソフト作るようになるし、報告きたらすぐ対応するようになる。即時公開のリスクと、会社が脆弱性放置するリスクのバランスが大事だよ。
銀行の例えで言うと、問題見つけたらまず銀行に知らせるのがベスト。公開開示はすぐ悪用されるだけ。DiscordのRCEみたいに、技術詳細がシェアされない限り悪用されないんだ。公開しても、悪意ある全員に知らせるだけだよ。誰も得しない。
どうやってバグを一度も書いたことないのか、ぜひ教えてくれよ。
言いたいのは、責任取らされるって分かってたら、会社はもっと慎重にソフト作るはずってこと。今のやり方だと、ずさんでも発見者に責任押し付けがち。責任ある開示はいいけど、脆弱性作った会社にもマジなペナルティが必要だと思う。悪用するやつへの対応は別問題。USじゃ一部のひどい連中がロールモデルになっちゃってるのが問題だね。
顧客がパッチ入れるのはOKじゃないかな。規制はここ → https://eur-lex.europa.eu/legal-content/EN/TXT/HTML
メーカーがパッチ出して、販売元は売る前にパッチが使えるようにしなきゃいけないみたい。安全なソフトじゃないとCEマークに不適合で、ほぼ売れないってことになるね。俺は法律家じゃないけどさ (IANAL)。
変な言い方だな。何万人ものユーザーを危険にさらしたのはお前(企業)だよ。問題を見つけた人じゃない。
それって基本HackerOneじゃない?
>あんたが脆弱性を出荷することにもっと無頓着じゃなくなってただろう、もしそれに責任を問われるって知ってたら
俺はこの捉え方に問題があると思うね。確かに、一部の脆弱性は無謀さの結果だし、明らかに杜撰なコードを出荷する企業に解決すべき問題があるのは明らかだ。
でも、多くの脆弱性は質の高いコードを出荷するために細心の注意を払っても発生するんだ。それは残念ながら、性(さが)みたいなもんだよ。十分複雑なシステムは、注意深い人でも予測できなかったような脆弱性を生む。
俺にとっての問題は、人間の開発者とソフトウェア開発プロセスに内在するこうした限界にもかかわらず、今やソフトウェアが世界を動かしてることなんだ。一部のエンジニアリング分野で見られるような、明確で強制力のある基準が業界にないにもかかわらず、ますます重要な状況で展開されてる。
あんたが説明してるシナリオは、開発者にソフトウェアを作るのをやめさせる上に、相当数の人々をさらなる危険に晒すことになるだろう。
業界には解決すべき問題があり、開発者コミュニティに幅広い文化的な変化が必要だと今でも信じてるけど、すべての穴に強い光を当てて、開発者に責任を取らせる”ために”大規模な損害を引き起こすのは、良いとか妥当な解決策だとも思わないね。
CGPGreyを引用すると:最初に思いつく解決策はひどくて効果がない。
良い安全/セキュリティ文化は、関係者に問題を隠さないことを奨励するんだ。企業は欲張りなヤツらだよ。セキュリティ上のミスを隠すために何でもするだろうね。
あんたはまた、合法的な、1ヶ月で修正可能な問題をみんなに公開して、悪用される可能性をものすごく高めてるんだ。
他の客と一緒に店で買い物してる君がいるとするじゃん。店に入る時、店員がゴミ箱の下に大きなナイフを外に置きっぱなしにしてるのに気づいたんだ。怪しい人物が店をうろついてて、何か盗む相手を探してるんだけど、まだ適切な手口を見つけてない。ある時点で、君(いつだって責任感のある市民)が店のテーブルの上に立って叫ぶんだ「ヘイ!みんなに知ってほしいんだけど、外のゴミ箱の下に大きくて怖いナイフがあるぞ。警告したからな。」って。そしてテーブルから降りて店を出るんだ。ナイフは危険だからね、何しろ。
君の発表の直後、怪しい人物がナイフを取りに行って、それを使って店を出ようとしてた客を刺して物を盗んだんだ。残念ながら、その客はトイレにいたから、迫りくる危険についての君の発表を聞いてなかったんだ。
やれやれ、ナイフを取り戻すのに一番適した人たちに事前の警告なしに、公開しちゃってよかったね。
−−−
これが状況を処理する最善の方法じゃなかったのは明らかだ。
もちろん、君は泥棒が発表前にナイフの存在を知らなかったって知らなかったかもしれないけど、発表後は確実に知っただろうさ。彼らが何を知ってるか知らないからって、誰にも構わず無差別に叫ぶのは良い理由じゃないんだ。
俺は「曖昧さがセキュリティだ」なんて議論はしてない。ナイフがゴミ箱の下にあるのはリスクだし、経営陣が対処すべきだ。でも、それが曖昧さをなくすことが自動的にセキュリティを向上させるってことにはならない。
中間の解決策:Discordは安全じゃないし、ゼロデイを見つけたって発表するのはどう?デモを見せたら、(Mitreみたいな?)信頼できる第三者が公に証明してくれるとか。
そうすれば顧客は知るし、Discordはプレッシャーかかって/恥をかかされて、それから非公開での開示と猶予期間を設けるんだ。
これまた官僚的な悪夢みたいだね。誰がこんなこと追跡するの?
もしあんたの店のドアを営業後に開けっ放しにしてて、誰かが「ヘイみんな!このドア開いてるぞ!見ろ!」って叫び始めたとして、それを100%あんたのせいにするのは難しいと思うな。
まあ、DJBがここに投稿するかどうかは分からないけど、彼は最小限に抑えてるね。
あと、これはほとんどデタラメだよ。みんなバグのないソフトウェアじゃなくて、機能を作ってるんだ。
他の業界では、こういうクソみたいな問題が日常茶飯事にならないように、専門技術者にライセンスを与える必要があったんだよ。
>あなたはまた、正規の、一ヶ月で修正可能な問題を誰でも利用できるようにしており、悪用される可能性を大幅に高めています。
あんたは、3年近くAndroidアップデートがない携帯をプライマリデバイスとして、それで銀行取引とかメッセージングとか、暇つぶしとか、ポルノとか…あらゆるデジタルサービスを使ってる人がどれだけいるか、多分想像もできないだろうね。
ユーザー、特にもっとも悪用されやすい人たちは、すでにたくさんのクソに晒されてるんだよ。文字通り完成した修正がある時でさえ、ベンダーはそれについて何もやらないんだ。底値が脅かされないと変わらないんだ。ASUSなんて買っちゃダメ、銀行口座ハッキングされるぞってうちの母さんでも知ってるくらいになったら、変化が見られるだろうね。
君の言うことは分かるし同意するけど、たぶんちょっと白黒つけすぎてるかな。
最近の最も悲惨なバグの一つ、meltdownを例にとってみよう。CPU内の投機的実行攻撃だ。これには(Paul Turnerの言葉を借りれば)「エネルギー有り余る7歳児の周りにトランポリン倉庫を置く」ような対策が必要だった。
これは、マイクロコードベンダーもOSベンダーも、当然ながらすごく時間がかかった…シリコンで修正するにはもっと時間がかかったね。
SaaSみたいにサイレントでデプロイできるとか、数分でパッチ適用できるような会社ばかりじゃないんだよ。
俺はAAA gamesで働いてるんだけど、偏見抜きで言えば、パッチをリリースするには特別な認証を通さないといけない。もしパブリッシャーと関係が良くても、認証(CERT)自体を待つだけで(修正が確認できた後でも)2週間かかるんだ。
もっとコメントを表示(1)
”Licensed professional engineers”なんてソフト開発じゃ神話だよ.橋みたいに単純なら資格も役立つけどね.橋は仕様書とか短いしチェックも簡単.でもソフトは毎回新しい超複雑なの作るから全然違う仕事なんだ.自動で複製できるからルーチンワークもないし,資格持ちなんて全く役に立たないよ.
ASUSにバグバウンティある?って聞いたら,ないけど「殿堂入り」させるって言われたんだよね.ASUSなんてちっちゃいスタートアップで,金ないからバウンティ払う金ないってことか?:(.
Ciscoみたいな「ちっちゃい」会社も同じで,殿堂入りとかにしてるんだ.Ciscoなんてセキュリティ発表ページも忘れてるくらいだから,認められるどころか全部闇に消えるしね.
いやCiscoバウンティ払ってるんじゃね?これ見てよ?
俺が何か報告した時(たぶん8年前くらいかな)は,機器だけバウンティあって「オンラインプロパティ」は対象外だったんだわ.人事のソフトで脆弱性見つけたんだけど,今どこにあったかもわかんねーし.
今さっきのリンク先にある2つのプログラムは絶対ソフトウェアも対象だよ(ハードウェアだけじゃないし).
バグバウンティなし?じゃあエクスプロイトはブラックマーケット行きだな.それか全部公開するか.
もっとみんながエクスプロイトをブラックマーケットで売り始めたら,企業はどれくらい心配になるんかな?バグバウンティない会社は,たぶん売られちゃっても気にしないだろな.どっちにしても,そーゆー会社とは取引しない方がいいわ,マジで.
政府がさ,”プログラムの脆弱性ここで買い取ります”みたいな窓口作ったらどうだろ?情報機関も得するけど,政府が企業に対して立場強くなるしね.
もしそのソフトウェアが原因でヤベー規模のハッキングが起きて,火がついたら,さすがに気にするだろ.それが目的なんだよ——企業に「気にしろよ!」ってプレッシャーかけるのがね.
Gamers Nexusが火をつけるネタかもね
>Asusってただの小さいスタートアップだって?
どこでそんな話聞いたんだろ。少なくとも90年代からマザーボードとかPCパーツ作ってるのに…
TFAにある”small startup”って言葉は、https://companiesmarketcap.com/asus/marketcap/ へのリンクになってるんだよ
これ見たらもう二度とASUS製品買いたくなくなったよ
俺の場合は、ASUS Zenfone 10のブートローダー解除方法を提供するって嘘ついたことかな。もうすぐ1000€の文鎮だよ(Androidアプデ2回だけ)
もし本当に嘘なら、その金額なら地元の簡易裁判所みたいなとこ訴える価値あるかもね
俺はGermanyだけどちょっと難しいんだよね。UKの人が頑張ったんだけど、結局返金か、OSをダウングレードするめちゃくちゃ高いオプション提示されただけみたい。1年前から何度も出来るようになるって言ってたのに…
詳しくはこちら: https://www.reddit.com/r/zenfone/comments/1ccy11g/asus_is_wo…
ちょっと聞きたいんだけど、Samsung S23の方が性能良くて安くて、5年もアプデあるのに、なんで1000ユーロも出してZenfone 10買ったの?前のASUSスマホも評判良くなかったじゃん。俺はZenfoneはやめとけって言い続けたのに、ネットのコミュニティは何故か救世主みたいにめっちゃ持ち上げてたんだよ
Zenfoneって小さくてイヤホンジャックもあるんだよね。やっぱこっちの方が良いスマホだわ。
ぶっちゃけ同世代のS23とサイズほぼ一緒じゃん[1]。めっちゃ安いUSB-Cアダプターで使えるイヤホンジャックのために、1000ユーロの文鎮を正当化するのはどうなのって思うわ。[1] https://www.gsmarena.com/size-compare-3d.php3?idPhone1=12380…
アダプターで困ったのが、充電しながら音楽聴けないことなんだよね。古い車に古いステレオ積んでて、外部入力がジャックしかないの。前のスマホなら全然OKだったんだけど。新しいSamsung買ってから、いくつか”USB-C充電とイヤホンジャック兼ねてるアダプター”を試すのにマジ苦労したんだけど、結局どっちか片方しか同時に使えないってわかったの。結局前のスマホホルダー捨てて、運転中に音楽も充電も同時にできるワイヤレス充電付きのやつにさらに金使ったわ。
同じことで困ってる人のための補足ね。アダプターが使えないのは、Audio Accessory Modeで動いてるからなんだ。信号はスマホのDACからUSBコネクタのデータライン通ってジャックに行くの。でも充電もそのライン使うから両方は無理。解決策は、DAC内蔵のUSBハブ使うこと。これの古い方使ってるよ: https://satechi.net/products/mobile-pro-hub-sd
>結局どっちか片方しか同時に使えないってわかったの
普通なら二つ同時にできるはずのちっちゃい物が、それができないなんて何度経験したか分かんないわ。マジでe-waste(電子ゴミ)だよ。
アダプターは色々な問題があって使い物にならないケースが多い。全モデルで動かない、マイク音質が悪い、接触不良が多い、充電と同時使用不可、挿すタイミングが重要など。安価なスマホにはイヤホンジャックがあるのに、高価なスマホにないのは不自然。個人的にはZenphone 10が条件に合ったが、Asusはroot化できずデータに制限があるのがダメだった。自分のデータにアクセスできないスマホは買いたくない。
俺は pure DAP + 有線IEMSで、スマホはBluetooth専用にして通話必要な時だけ繋いでるよ。
全体的に、気が散るのも減るね。
Bluetoothイヤホンの問題として、片耳で寝られない、操作が煩雑、多用途に使えないなどを挙げる。昔の有線イヤホンは安価で長く使えたのに、今は高性能でイヤホンジャック付きのスマホがAsus Zenfoneくらいしかない。しかもAsusはデータ制限があるのがネック。時代の変化についていくのが大変だと感じる。
cempler(たぶん2857の人)が言ってた通り。Pixel 4aのジャック壊れそうになった時、ドングル方式試したけど微妙だったわ。ケーブルが真ん中の下から出るのが、俺的には最悪の場所なんだよね。伸ばした小指の上にスマホ乗せるからさ。Zenfoneはスペック上もレビューでも全部条件クリアしてたの。
イケてるチップセット、しっかりした造り、俺の小さい手にも合う形(とはいえ、今思うと重すぎて数時間読書してると小指痛くなるけど)。
で、イヤホンジャック。これでスマホをステレオとかSennheiserヘッドホンに繋いでるんだ。マジでジャックがこのスマホ買った一番の理由だよ。
それに、今まで全てのZenfoneはブートローダーアンロックが面倒だったけど、ちゃんとしたROMコミュニティがあったのも事実。スペック上はマジで最高の選択肢だったわ。
くっそAsus、あんなに dodgy (怪しい)だとは知らなかったよ :/
全然驚かないね。Asusのソフトは最悪だし、セキュリティ対策ができてないの見ると,こいつら常習犯だよ。techspot.comの記事やredditのリンク見てみなよ。
これ、初めてどころか前に何度もあったことだよ;https://cve.mitre.org/data/board/archives/2016-06/msg00006.h…(昔のtumblrのブログは消えちゃったけどgist.github.comにアーカイブしといたやつ見てみて):https://gist.github.com/indrora/2ae05811a2625a6c5e69c677db6e…
driverhub.asus.com.*でドメイン取ってる人が他にいないか、証明書の透明性ログをチェックしたんだ。他のサイトだと1ヶ月以内にログに出るみたいだから,1ヶ月待ってみたけど,テスト用ドメイン以外に該当はなかったよ。だから,報告前に悪用されてた可能性は低いと思う。ただし,これはdriverhubのサブドメインを直接登録した場合の話ね。ワイルドカード証明書を持ってる奴なら,ログに残らずこっそり悪用できた可能性もあるのかな?
もっとコメントを表示(2)
ワイルドカード証明書ってのは、1つのラベルレベルだけなんだ。*.example.com.だとtest.test.example.com.はダメだけど,test.example.com.はOK。もし誰かが*.asus.com.example.com.のワイルドカードを発行してたら,driverhub.asus.com.example.com.でウェブサーバー立てて,有効に見せられたかもね。
親コメントは、攻撃者が証明書の透明性ログで発見されずに済んだ可能性、つまり「ワイルドカード」を使えば攻撃できたって言ってるけど,それは間違いだよ。俺が言いたいのは、みんなが「ワイルドカード」って言う時に想定してる、ドメインの頂点でのワイルドカード(例:*.example.com)はこの攻撃には使えないってこと。ワイルドカード証明書でこの攻撃をするなら,*.asus.com.example.com.みたいな証明書が必要になるけど,それなら証明書の透明性ログに絶対残るから怪しさ満点だよ。
まだ”*.*.mydomain.com”みたいなワイルドカード証明書って公開で申請できるの?IIRC,確か”*.*.”で始まるワイルドカード証明書だと,2つ以上の名前をその証明書でカバーできたと思うんだけど?(例:”*.*.example.com”証明書は”hello.world.and.hi.com.example.com”にマッチするとか)
公開CAsだとワイルドカード証明書は1つのラベルにしか使えないんだって。ネストしたワイルドカードはダメだよ。RFC6125やCA/Browser Forumの要件で決まってる。自前のCAなら自由だけどね。詳しくはRFCやCA/Browser Forumのリンクを見て。例として,’..example.com.’は’hi.com.example.com.’にしかマッチしないよ。
俺が思うに、証明書の透明性には黙ってられないってことだよ。だって*.asus.com.example.comの証明書なんて持ってたら,どう考えても怪しいもん。
ワイルドカード証明書の死角については、あんたの言うとおりだよ。.example.com用のワイルドカード証明書を持った攻撃者なら、driverhub.asus.com.みたいな特定のドメインのCT logに載らずにこれを悪用できたかもね。だからCT log監視だけじゃ、こういうサブドメイン乗っ取り脆弱性の検出には不十分なんだよ。
それは’driverhub.asus.com.example.com.’であって、’driverhub.example.com.’じゃないんだよ。だから、CT logで(regex):(driverhub|¥*)¥.asus¥.com¥.って検索すれば完全に見つけられるんだよ。
さらにさー<br>-自己署名証明書でもいけた? あれって透明性ログには載らないし.<br>-HTTPSじゃなきゃダメなの?
最新のwifiドライバはダメなんだよ、古いバージョンを使わなきゃいけないみたい.
>ASUSのセキュリティ諮問フォームから脆弱性レポートを提出しようとしたら、Amazon CloudFrontが添付したPoCを悪意のあるリクエストだってフラグ立てて、提出をブロックしちゃったんだってね.WAFsはアンチパターンだっていうおさらいだよ:https://thedailywtf.com/articles/Injection_Rejection
>ASUSはただの小さなスタートアップだから理解できるね(皮肉).マーケットキャップ150億ドルの小さなスタートアップだよ.もっと理解できるのは、クソ製品だけでなく、顧客のためにめちゃくちゃ頑張った研究者をないがしろにすることだ.こんな扱いを受ける研究者が気の毒でならない.不公平すぎる.ASUS製品を買わないこと、これがやるべきことだ.
俺がASUSにバグバウンティやってるか聞いたらさ.彼らはやってないって答えたけど、代わりに俺の名前を”hall of fame”に載せるって言ってきたんだよ.ASUSはただの小さなスタートアップだから理解できるね[1]、たぶんバウンティを払う資金がないんだろう.[1]:https://companiesmarketcap.com/asus/marketcap/
お決まりの”Scumbag Asus”動画リンクね。Invidious https://inv.nadeko.net/watch?v=cbGfc-JBxlY YouTube https://youtube.com/watch?v=cbGfc-JBxlY
”ASUSから面談の申し出があったんだけど、”オープンに”話したいって言うから録音するって言ったら、5日間も返事なし。チャンスはあげたんだけどね。”って話。
編集:フォーマット
で、”基本的にまともな”マザーボードメーカーってあるの?それとも大手どこも似たような感じ?
近いうちに新しいPC組もうとしてる友達のために聞いてるんだけど。
消費者向けブランドはどこもダメだよ。俺の前のMSIボードはSecureBoot壊れてるわ、BIOS設定めちゃくちゃでアプデでリセットされるわ、電源切るとUSBキーボード抜き差ししないとダメだわで散々だった。でもRGBなしにこだわったからね。PCはもう終わりだ。
PCマザーボードのオープンソースプロジェクト、マジで必要だよね。
kicad discordで聞いた話。中国チームがオープンハードウェアx86_64マザーボード作って公開したら、Intelによって消されたらしい。Intelの許可なしに開発できないんだって。Nintendoと変わらないね。
それどうかな。
中国の”Tinker”たちはH81とかB85みたいな消費者向けチップセット再利用した”x99”マザーボードを山ほど作ってるよ。Intelがそれを認めてるとは思えないけど。
うん、そのルートで行きたいなら、RISC-Vに行った方がいいだろうね。
RISC-Vには長期的には絶対行きたいけど、普通のワークステーションとして実用的なRISC-Vボードはまだ数年先な気がするな、最近何か大きな進展見落としてなければだけど。
ASRock (Asusのサブブランドだけど開発は独立っぽい) 10年使ってるけど大丈夫。最近X870でCPU焼く話もあったけど、ASRockのせいかは不明。X670 / B650にはこの記事の設定があるけど、Windows使わないし無効にしてるからヤバいかは分からないな。
