アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
噂の真相
日本 Windows NT ユーザ会 (JWNTUG)
Event Planning Working Group
小島 肇
今日のおはなし
■噂 1: Linux は Windows よりも安全だ
■噂 2: Apache は IIS よりも安全だ
■噂 3: Netscape / Mozilla, Opera は IE より
も安全だ
■噂 4: Microsoft はセキュリティ fix が遅いし
セキュリティ情報も開示しない
■ まとめにならないまとめ
念のため
■このプレゼンテーションは、JWNTUG を代
表するものでも、JWNTUG の総意でもあり
ません。あくまで小島個人の意見に基づく
もので
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
■2002.01.01~2002.06.10 のセキュリティ fix の数
OS / ベンダー patch 数
────────────────────
Microsoft 26
RedHat Linux 7.2 46
Debian GNU/Linux 35
Sun 6
FreeBSD 27
注意! 上記の数字は一概に比較できない:累積的 patch の
存在、セキュリティアナウンスが不十分なベンダー (Sun) 等
真相: Linux だから安全、
ではない
■どんな OS であっても、日々発見される security
hole を随時
Re:第一回STPPセキュリティー対策セミナー (スコア:4, 参考になる)
■何度か重要な修正が行われている
-1.3.12: クロスサイトスクリプティング脆弱性の fix
-1.3.14: 大規模な virtual hosting サイトにおいて Host:
ヘッダ処理に問題があり攻撃者が任意のファイルに
アクセス可能、CGI ソースの漏洩
-1.3.22: 特殊な Host: ヘッダにより任意の .log ファイルを上書き可能
■古い Apache を動かしている hosting 業者は多い
-1.3.13 以前は特に危険 nWin32 版にはさらに、致命的なものも含む、さまざまな弱点が
-1.3.24: Win32 Apache Remote comman execution
Apache は bu
Re:第一回STPPセキュリティー対策セミナー (スコア:5, 参考になる)
安心なのか?
■IE ほどではないがセキュリティホールが発見されている。
-Netscape 6.1~6.2.2 / mozilla 0.9.7~1.0RC1 でローカルファイル漏洩
-Opera 6.01 以前で cookie / ローカルファイル漏洩
-Opera 6.01, 6.02 で任意のローカルファイルが漏洩
■Opera はセキュリティ情報が公開されない!
-どんな問題があったのか、また本当に fix されたのか
がベンダー情報からはわからない
-日本語版配布元が独自にセキュリティ情報を発信中
■Netscape は日本語情報が維持されていない
-英語情報はそれなり
現状の IE は、bug だ
Re:第一回STPPセキュリティー対策セミナー (スコア:1)