/.でも同じようなことが議論になってます [slashdot.org]が、一応DoSって呼んでいるみたいですよ(やはり異論も唱えられていますが)。そして、/.Jにおいても過去同様の議論 [srad.jp]が起きています。ただ DoS と言うか DoS Attack と言うかでは、それなりに意味が変わるかも知れません。「コンセントが抜けててコンピュータが起動しない」のはDoSと言っても良さそうですが、DoS Attack ではないような気がします。
影響の種類による(Secuniaでの)分類法については、Secuniaアドバイザリについて [secunia.com]で次のように説明しています。対象を機能不全・障害・停止に追い込み、攻撃者以外の者の利用を妨げるものならDoSである、と。Disturbance of Functionとか表現しても良さそうに思うんですが、長ったらしいかな?
酷い奴だな (スコア:5, すばらしい洞察)
と書いてあるけど、サンプルは
>HTTP/1.1 200 OK
>Date: Mon, 06 Aug 2007 21:55:50 GMT
>Server: Apache
>Last-Modified: Sat, 04 Aug 2007 14:04:03 GMT
>ETag: "728045-88-46b48753"
>Accept-Ranges: bytes
>Content-Length: 136
>Proxy-Connection: close
>Connection: close
>Content-Type: text/html
>
><!--
> Easy IE Crash by Hamachiya2 (http://hamachiya.com/junk/ie_crash.html)
>-->
>
><style>*{position:relative}</style><table><input>
「</table>」無いな。
こう言うのってパッチ出る前に公表する奴なんだな。そして、垂れ込む奴もそれを掲載する奴もどうかと思う。
MSに連絡して2ヶ月くらい間を置いて公表するのならば解るけどな。
1つのプロセスでIEの窓を沢山開き複数のサイトを見ていればプロセス毎落ちるのにな。
>FirefoxとかOpera大好きっ子は、
>これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!!!
http://d.hatena.ne.jp/Hamachiya2/20070804/browser_crasher
と唆しているしな。
Re:酷い奴だな (スコア:4, 参考になる)
Re:酷い奴だな (スコア:1, すばらしい洞察)
するようなレベルの人じゃないとまず分からないし、そういうレベルの人でもたまに
間違える。
過去にも、単なるブラクラでセキュリティホールではない、と思われていたバグが、
実は任意コード実行可能なセキュリティホールだった、ということが何度かあったから、
騒ぎすぎるのも問題だが、門前払いも問題だと思う。
Re:酷い奴だな (スコア:2, 興味深い)
たまに対応のいいメーカもあるけどさ。
何度か遭遇したいやな回答
・そのような報告例はありませんので、おっしゃられているような脆弱性は存在しません
って、今報告してるんですけど...
・保守契約を結んでいるユーザからしか質問は受け付けません
って、質問じゃなくて報告なんですけど...
・対応環境以外の質問は一切受け付けません
だから質問じゃなくて報告なんですけど...
報告している部分も、環境依存じゃないのに...
・今後の製品改善のために云々
ただテンプレの自動返信じゃ?
IPAがその辺の窓口になってくれるものだと思っていたのに、
そもそも脆弱性の報告ってなんで匿名じゃだめなの?
脆弱性の報告と匿名 (スコア:2, 参考になる)
IPA の FAQ に 「匿名もしくはハンドルネームで届出をしてもいいですか? [ipa.go.jp]」 が用意されていますが、「きまりですから」以上の情報はありませんね。
「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) [meti.go.jp] を見ると、
とあります。実際にそのような問題が発生した場合に備える意味でも実名と連絡先を必須とした、んじゃないのかなあと個人的には思います。
Re:酷い奴だな (スコア:1)
「再現が難しい/調査に時間が掛かる/調査が大がかりになる」
場合などに割くリソースが無いってのが理由でしょうか??
馬鹿正直にリソースかけて調査すると言う企業だった場合、
私が競合企業に居たら、匿名で有ること無いことバンバン報告あげて疲弊させます(をぃ
と、匿名だったらこんな事する奴(愉快犯とか言われる人達かな)いるかも知れないので
匿名では受け付けないって事を決めているのかもしれませんね。
※過去にそんなケースがあったのかも??
Re:酷い奴だな (スコア:0)
> 匿名では受け付けないって事を決めているのかもしれませんね。
身分証を提示するわけでもない "自称本名" なんていくらでも偽装できますから、
妨害工作する気なら匿名不可にしたって意味ありません。
はまちゃん自身がIPAとのやりとりの顛末を書いてますが、
この手の報告で報告者の敷居を上げることは、
メリットよりもデメリットの方が大きいと思います。
http://d.hatena.ne.jp/Hamachiya2/20070203/ipa4 [hatena.ne.jp]
Re:酷い奴だな (スコア:1)
> この手の報告で報告者の敷居を上げることは、
> メリットよりもデメリットの方が大きいと思います。
そう?
実名を名乗れない誰かさんは相手にしない。ってのはメリットになるよ。
Re:酷い奴だな (スコア:0)
「法律を守らない奴がいるからルール作ったって無駄」
そういう発想の人には「メリット」が見えないのでしょう。
>メリットよりもデメリットの方が大きいと思います。
Re:酷い奴だな (スコア:0)
?
そんなことは言ってませんよ。
悪意のある人には簡単に回避でき、悪意のない人には
無用の負担となるようなルールは無駄だと言っています。
CCCDと一緒。
Re:酷い奴だな (スコア:0)
Re:酷い奴だな (スコア:0)
負担に思わない人もいれば思う人もいるんでしょう。
よく分からん街頭アンケートに住所氏名電話番号その他書いちゃう人も世の中にはいるわけですし。
Re:酷い奴だな (スコア:0)
> よく分からん街頭アンケートに住所氏名電話番号その他書いちゃう人も世の中にはいるわけですし。
届出を街頭アンケート程度にしか思っていないのが問題。
脆弱なIPA様・・・ (スコア:0)
>そもそも脆弱性の報告ってなんで匿名じゃだめなの?
そうですよね。
特に今回は、脆弱性を持った機関そのものに対して
レポートしないといけないわけで
自分の情報流出の危険を考えると名乗りたくない気持ちはよく分かります。
Re:脆弱なIPA様・・・ (スコア:0)
Re:酷い奴だな (スコア:1, 参考になる)
「はまちちゃん」について調べておくといいと思うよ。
IPAに届出をだすのに、実名を「はまちや2」で出して、
「実名での届出を・・・」と言われたのにも関わらず
「はまちや2は実名だ。これで受け付けないなら
脆弱性を自分のWebサイトで大公開するぞ。」と脅したこともあった変わり者。
Re:酷い奴だな (スコア:0)
Re:酷い奴だな (スコア:0)
昔、「はてな」に大量のアカウントを取ってspamまがいの業務妨害しかけてた人ですね。
はてなの罪は重い (スコア:0)
Re:酷い奴だな (スコア:1, すばらしい洞察)
この程度のバグならMSはパッチ出さないかもしれないし,MSならこの程度の問題ならうちはパッチ出す義務など無いと
のたまうかもしれない.
(OSが落ちたりするわけでもなく,システム乗っ取ったり,意図的に情報抜き出そうとしてるわけでもないし)
Re:酷い奴だな (スコア:1, すばらしい洞察)
なんとも断言できませんが、一般的にこのような攻撃は単なるバグ
ではなくてDoS Attackと言われる立派な不正攻撃ですよね。
自分が開設したサイトだけが見れないならまだしも、ブラウザ利用者が
アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
立派な業務妨害ともいえますし、それを唆しているわけですから
訴えられても擁護はできないですね。
こんなことを書くとマイナスモデされてフレームのもとや荒らし扱い
されるかもしれませんけど、こんな威力業務妨害を唆す情報を簡単に
掲載しちゃうような人たちは、雑誌ネットランナーのことを犯罪ほう助だ
と批判できる立場じゃないよなって思います。
しかも、一度事前にMSに問題を報告したわけではなく、いきなり0-day attackを
やるように言っているのなら、かなり問題だと思います。
ところで、MS嫌いの人がこのような嫌がらせをやることによってFirefoxなどを
広めようとしているなら、個人的にはFirefox(またはその他)に乗り換えた時点で
負けと感じるので、逆にFirefoxを排除したくなります。
IE対抗ブラウザ推進派は、IEユーザを攻撃することで不便に陥れることではなく、
IEよりも良いものであると示すことで支持を得て欲しいと思いますし、Firefoxは
それを実践することでシェアを伸ばしてきたはずです。
最近、それが揺らいでいる気がします。
Re:酷い奴だな (スコア:2, 興味深い)
> アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
> 立派な業務妨害ともいえますし、それを唆しているわけですから
> 訴えられても擁護はできないですね。
「不審なリンクや信用をおけないリンクはクリックしない。」
「不審なサイトや信用をおけないサイトにはアクセスしない。」
「不審なメールや信用をおけないメールは開かない。」
などの基本的なルールを守っていて、
それでもその業務妨害が発生するのならば
すぐに対応しないといけないかもしれませんね。
Re:酷い奴だな (スコア:1)
> アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
> 立派な業務妨害ともいえますし、それを唆しているわけですから
> 訴えられても擁護はできないですね。
こういう論調は昔から見られますけど異論のある論理であり、常識とは言えません。広く晒されようとされまいと不正を働く者は働くわけです。むしろ、公表されないことで対策が遅れる方が怖いですね。
> IE対抗ブラウザ推進派は、IEユーザを攻撃することで不便に陥れることではなく、
> IEよりも良いものであると示すことで支持を得て欲しいと思いますし、Firefoxは
> それを実践することでシェアを伸ばしてきたはずです。
> 最近、それが揺らいでいる気がします。
何か関係があるのでしょうか?
MS製品の脆弱性の話題になると、必ずこの種の陰謀論を持ち出す人が出てきます。でも、これを言えばIEの品質が上がるとでも言うのでしょうか?
Re:酷い奴だな (スコア:1)
サーバーやネットワーク機器に対してキャパを上回るサービス要求を行うことで
機器の正常な動作を妨げたり、サービスの提供を行えなくするような攻撃の形態のことだと思いますよ。
「Web 2.0」とか「SEO対策」とか、インターネッツ世界の用語は必ずしも意味が確定してるもの
ばかりじゃないですけど、曖昧にしか知らないのなら専門用語は避けるべきだと思います。
加えて、0-day attackと言われましたが、高々ブラウザが落ちる程度でセキュリティ上の問題ではないし、
「攻撃方法の存在」もFireFoxやOperaを使うといった「対処方法」も一緒に公開しているのだから、
普通に使う「ゼロデイ攻撃」とは相当イメージが違うと思うのですが・・・
#ちなみに、今回のようなものはMSの中の人が作ったバグによる一般ユーザーへの攻撃ですから、
#「中の人攻撃」(Man-in-the-middle Attack) [e-words.jp]という有名な用語があるのでそれを使いましょう^^ 信じないように
ごめんなさい。
Re:酷い奴だな (スコア:0)
まぁ、今回は攻撃対象を問題のコードを埋め込んだサイトに誘導しなければいけないので、"DoS"というのは確かにちょっと違う気がしますがね。そのサイトに行かなければ普通にサービスを使えるわけだから。
Re:酷い奴だな (スコア:0, フレームのもと)
気持ち悪い心理構造ですね。
Re:酷い奴だな (スコア:0, フレームのもと)
>広めようとしているなら、個人的にはFirefox(またはその他)に乗り換えた時点で
>負けと感じるので、逆にFirefoxを排除したくなります。
どう見てもどちらも気持ち悪いです
本当にありがとうございました
Re:酷い奴だな (スコア:0)
3分でわかるスラドのモデ翻訳 (スコア:1, おもしろおかしい)
余計なもの→氏ね厨房
オフトピック→興味ないね
(「モデレーションにケチをつけるとは何様のつもり?」の意でもよく使われる)
このように脳内変換する癖をつけとくと変なモデを見ても腹が立たなくなります。
Re:酷い奴だな (スコア:0)
# スコアの代わりに「先入観」という訳語をあててみたい
# 必要な人ならそれでも使うだろう
Re:酷い奴だな (スコア:0)
> ではなくてDoS Attackと言われる立派な不正攻撃ですよね。
DoSの定義も随分変わったもんだ。
省略じゃない正式名何か知ってるか?
Re:酷い奴だな (スコア:0)
> 省略じゃない正式名何か知ってるか?
Denial of Service: サービス妨害
ですね。脆弱性を利用してコンピュータによるサービスが受けられない状態を作り出すことをDoS攻撃なんて言い方をします。IEの障害を利用して、本来IEが提供できるサービスを停止させるんですから立派なDoSですね。何か問題でも?
もしかして、DDoS(Distributed Denial of Service)とカンチガイしてませんか?
Re:酷い奴だな (スコア:0)
servするのは"server"だ。
Re:酷い奴だな (スコア:0)
等しく誰かに提供して貰っている service だって言いたいんじゃないかな?
…とすると、あれだ。
気をつけろ!
彼のアゲアシをとったりすると、「DoS攻撃された!」って訴えられちゃうぞ!
# ぐらいの論理の飛躍でどうだ!?
Re:酷い奴だな (スコア:0)
一つ賢くなったな。
Re:酷い奴だな (スコア:0)
XSSと組み合わせて、特定サイトでサービス障害を起こしてる例ならDoSって呼んでるのを見た事があるかもしれないけど
とりあえずソース
Re:酷い奴だな (スコア:0)
にて紹介されてる「普段からセキュリティ方面を追っかけてる方々」のお言葉
ブラウザの DoS 話
(話題 : セキュリティ / Internet Explorer / Firefox)
「IE6を一行でクラッシュさせるコード (slashdot.jp) 」。ちなみにこの手のクラッシュを IPA 経由で届け出ると、MS は「脆弱性じゃありませんがありがとう」という感じの反応をして、特に何事もなく終了します。そのうち直るかもしれませんし直らないかもしれません。そんなもんです。
実はブラウザに対する DoS ってあまり深刻な問題として受け止められないのですよね。というのも、ブラウザに対する DoS 攻撃はあまりにも。
Re:酷い奴だな (スコア:2, 参考になる)
Re:酷い奴だな (スコア:0)
ブラクラ=DoS か (スコア:1)
一例でいい? Secuniaアドバイザリ製品別一覧 - IE6 [secunia.com]において「DoS」をページ内検索してみるといくつか見つかり、そのいずれの問題も、現象としてはブラウザのクラッシュを引き起こすものです(DoSまたはシステムアクセス――ローカルユーザー権限での任意コード実行――につながるものもあります)。例えばIEのメモリ破壊の弱点 [secunia.com]では、次のように書かれています(今回のものではないので混同しないようご注意)。
影響の種類による(Secuniaでの)分類法については、Secuniaアドバイザリについて [secunia.com]で次のように説明しています。対象を機能不全・障害・停止に追い込み、攻撃者以外の者の利用を妨げるものならDoSである、と。Disturbance of Functionとか表現しても良さそうに思うんですが、長ったらしいかな?
余談ですが、短い表現で問題を発現させることができることは珍しくなく(例: conconバグ)、「一行で」と特筆するほどでもないと思うんですけどね。
Re:酷い奴だな (スコア:1)
Sun Alert ID: 102885 [sun.com]より:
HIRATA Yasuyuki
Re:酷い奴だな (スコア:0)
> ですね。
これは正しい。
> 脆弱性を利用してコンピュータによるサービスが受けられない状態を作り出すことをDoS攻撃なんて言い方をします。
この解釈は、ああ勘違い。恥ずかしい。
DDoSを知りながら、DistributedじゃないDoSを、脆弱性ベースって、どうして考えちゃったんだろう。
DDoSは、「脆弱性を利用してコンピュータによるサービスを受けられない状況を、分散した環境から作り出すこと」じゃなかろうに。
おい!モデレータ目を覚ませよ! (スコア:0)
Re:おい!モデレータ目を覚ませよ! (スコア:0)
Re:酷い奴だな (スコア:1)
少し前に、とあるメーリングリストで似たような事例 (IE6 で落ちるけど IE7 なら問題なし) といったものがありましたが、任意コマンド実行可能な脆弱性という訳でもない不具合ということで、修正しない方向になった、というのがあったと思います。
これと全く同じパターンなので、おそらく修正しないのではないかと。
# Vista IE7 だとノーディレイで普通に表示されちゃうな、これ。
Re:酷い奴だな (スコア:0)
不具合みつけて鬼の首を取ったように自慢するやつ
それに乗せられてうっかりblogで(結果的にせよ)広めちゃうやつ
それを騒ぎの種になるように狙ってさらにスラドにたれこむやつ
と根性曲がったやつらしかいないように見えるねえ。
IT業界の人間がこんなやつらばかりだとは思いたくないよ。
Re:酷い奴だな (スコア:1)
これに追加で、
そして何とか自分の得にならないものかと考えるやつ
調子に乗ってわざと再現してほくそ笑むやつ
を追加で。
得になっても徳にはなりませんが。
衣食足りて礼節を知る (スコア:0)
それを言い訳にしてはなりませんが。
Re:酷い奴だな (スコア:0)
変に狭量な正義感を振りかざすのもまあいいけどさ、それじゃつまらんよ。
バグを面白おかしく皮肉ってこそNERD。
Re:酷い奴だな (スコア:0)
騒ぎになることに快感を感じてる、放火魔とかと同じレベルの人間。
ちゃんと叱ってくれる人がいないとエスカレートするよ。