/.でも同じようなことが議論になってます [slashdot.org]が、一応DoSって呼んでいるみたいですよ(やはり異論も唱えられていますが)。そして、/.Jにおいても過去同様の議論 [srad.jp]が起きています。ただ DoS と言うか DoS Attack と言うかでは、それなりに意味が変わるかも知れません。「コンセントが抜けててコンピュータが起動しない」のはDoSと言っても良さそうですが、DoS Attack ではないような気がします。
影響の種類による(Secuniaでの)分類法については、Secuniaアドバイザリについて [secunia.com]で次のように説明しています。対象を機能不全・障害・停止に追い込み、攻撃者以外の者の利用を妨げるものならDoSである、と。Disturbance of Functionとか表現しても良さそうに思うんですが、長ったらしいかな?
酷い奴だな (スコア:5, すばらしい洞察)
と書いてあるけど、サンプルは
>HTTP/1.1 200 OK
>Date: Mon, 06 Aug 2007 21:55:50 GMT
>Server: Apache
>Last-Modified: Sat, 04 Aug 2007 14:04:03 GMT
>ETag: "728045-88-46b48753"
>Accept-Ranges: bytes
>Content-Length: 136
>Proxy-Connection: close
>Connection: close
>Content-Type: text/html
>
><!--
> Easy IE Crash by Hamachiya2 (http://hamachiya.com/junk/ie_crash.html)
>-->
>
><sty
Re:酷い奴だな (スコア:1, すばらしい洞察)
この程度のバグならMSはパッチ出さないかもしれないし,MSならこの程度の問題ならうちはパッチ出す義務など無いと
のたまうかもしれない.
(OSが落ちたりするわけでもなく,システム乗っ取ったり,意図的に情報抜き出そうとしてるわけでもないし)
Re:酷い奴だな (スコア:1, すばらしい洞察)
なんとも断言できませんが、一般的にこのような攻撃は単なるバグ
ではなくてDoS Attackと言われる立派な不正攻撃ですよね。
自分が開設したサイトだけが見れないならまだしも、ブラウザ利用者が
アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
立派な業務妨害ともいえますし、それを唆しているわけですから
訴えられても擁護はできないですね。
こんなことを書くとマイナスモデされてフレームのもとや荒らし扱い
されるかもしれませんけど、こんな威力業務妨害を唆す情報を簡単に
掲載しちゃうような人たちは、雑誌ネットランナーのことを犯罪ほう助だ
と批判できる立場じゃないよなって思います。
しかも、一度事前にMSに問題を報告したわけではなく、いきなり0-day attackを
やるように言っているのなら、かなり問題だと思います。
ところで、MS嫌いの人がこのような嫌がらせをやることによってFirefoxなどを
広めようとしているなら、個人的にはFirefox(またはその他)に乗り換えた時点で
負けと感じるので、逆にFirefoxを排除したくなります。
IE対抗ブラウザ推進派は、IEユーザを攻撃することで不便に陥れることではなく、
IEよりも良いものであると示すことで支持を得て欲しいと思いますし、Firefoxは
それを実践することでシェアを伸ばしてきたはずです。
最近、それが揺らいでいる気がします。
Re:酷い奴だな (スコア:2, 興味深い)
> アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
> 立派な業務妨害ともいえますし、それを唆しているわけですから
> 訴えられても擁護はできないですね。
「不審なリンクや信用をおけないリンクはクリックしない。」
「不審なサイトや信用をおけないサイトにはアクセスしない。」
「不審なメールや信用をおけないメールは開かない。」
などの基本的なルールを守っていて、
それでもその業務妨害が発生するのならば
すぐに対応しないといけないかもしれませんね。
Re:酷い奴だな (スコア:1)
> アクセス中の別のサイト閲覧のプロセスごと落とすわけですから
> 立派な業務妨害ともいえますし、それを唆しているわけですから
> 訴えられても擁護はできないですね。
こういう論調は昔から見られますけど異論のある論理であり、常識とは言えません。広く晒されようとされまいと不正を働く者は働くわけです。むしろ、公表されないことで対策が遅れる方が怖いですね。
> IE対抗ブラウザ推進派は、IEユーザを攻撃することで不便に陥れることではなく、
> IEよりも良いものであると示すことで支持を得て欲しいと思いますし、Firefoxは
> それを実践することでシェアを伸ばしてきたはずです。
> 最近、それが揺らいでいる気がします。
何か関係があるのでしょうか?
MS製品の脆弱性の話題になると、必ずこの種の陰謀論を持ち出す人が出てきます。でも、これを言えばIEの品質が上がるとでも言うのでしょうか?
Re:酷い奴だな (スコア:1)
サーバーやネットワーク機器に対してキャパを上回るサービス要求を行うことで
機器の正常な動作を妨げたり、サービスの提供を行えなくするような攻撃の形態のことだと思いますよ。
「Web 2.0」とか「SEO対策」とか、インターネッツ世界の用語は必ずしも意味が確定してるもの
ばかりじゃないですけど、曖昧にしか知らないのなら専門用語は避けるべきだと思います。
加えて、0-day attackと言われましたが、高々ブラウザが落ちる程度でセキュリティ上の問題ではないし、
「攻撃方法の存在」もFireFoxやOperaを使うといった「対処方法」も一緒に公開しているのだから、
普通に使う「ゼロデイ攻撃」とは相当イメージが違うと思うのですが・・・
#ちなみに、今回のようなものはMSの中の人が作ったバグによる一般ユーザーへの攻撃ですから、
#「中の人攻撃」(Man-in-the-middle Attack) [e-words.jp]という有名な用語があるのでそれを使いましょう^^ 信じないように
ごめんなさい。
Re:酷い奴だな (スコア:0)
まぁ、今回は攻撃対象を問題のコードを埋め込んだサイトに誘導しなければいけないので、"DoS"というのは確かにちょっと違う気がしますがね。そのサイトに行かなければ普通にサービスを使えるわけだから。
Re:酷い奴だな (スコア:0, フレームのもと)
気持ち悪い心理構造ですね。
Re:酷い奴だな (スコア:0, フレームのもと)
>広めようとしているなら、個人的にはFirefox(またはその他)に乗り換えた時点で
>負けと感じるので、逆にFirefoxを排除したくなります。
どう見てもどちらも気持ち悪いです
本当にありがとうございました
Re:酷い奴だな (スコア:0)
3分でわかるスラドのモデ翻訳 (スコア:1, おもしろおかしい)
余計なもの→氏ね厨房
オフトピック→興味ないね
(「モデレーションにケチをつけるとは何様のつもり?」の意でもよく使われる)
このように脳内変換する癖をつけとくと変なモデを見ても腹が立たなくなります。
Re:酷い奴だな (スコア:0)
# スコアの代わりに「先入観」という訳語をあててみたい
# 必要な人ならそれでも使うだろう
Re:酷い奴だな (スコア:0)
> ではなくてDoS Attackと言われる立派な不正攻撃ですよね。
DoSの定義も随分変わったもんだ。
省略じゃない正式名何か知ってるか?
Re:酷い奴だな (スコア:0)
> 省略じゃない正式名何か知ってるか?
Denial of Service: サービス妨害
ですね。脆弱性を利用してコンピュータによるサービスが受けられない状態を作り出すことをDoS攻撃なんて言い方をします。IEの障害を利用して、本来IEが提供できるサービスを停止させるんですから立派なDoSですね。何か問題でも?
もしかして、DDoS(Distributed Denial of Service)とカンチガイしてませんか?
Re:酷い奴だな (スコア:0)
servするのは"server"だ。
Re:酷い奴だな (スコア:0)
等しく誰かに提供して貰っている service だって言いたいんじゃないかな?
…とすると、あれだ。
気をつけろ!
彼のアゲアシをとったりすると、「DoS攻撃された!」って訴えられちゃうぞ!
# ぐらいの論理の飛躍でどうだ!?
Re:酷い奴だな (スコア:0)
一つ賢くなったな。
Re:酷い奴だな (スコア:0)
XSSと組み合わせて、特定サイトでサービス障害を起こしてる例ならDoSって呼んでるのを見た事があるかもしれないけど
とりあえずソース
Re:酷い奴だな (スコア:0)
にて紹介されてる「普段からセキュリティ方面を追っかけてる方々」のお言葉
ブラウザの DoS 話
(話題 : セキュリティ / Internet Explorer / Firefox)
「IE6を一行でクラッシュさせるコード (slashdot.jp) 」。ちなみにこの手のクラッシュを IPA 経由で届け出ると、MS は「脆弱性じゃありませんがありがとう」という感じの反応をして、特に何事もなく終了します。そのうち直るかもしれませんし直らないかもしれません。そんなもんです。
実はブラウザに対する DoS ってあまり深刻な問題として受け止められないのですよね。というのも、ブラウザに対する DoS 攻撃はあまりにも。
Re:酷い奴だな (スコア:2, 参考になる)
Re:酷い奴だな (スコア:0)
ブラクラ=DoS か (スコア:1)
一例でいい? Secuniaアドバイザリ製品別一覧 - IE6 [secunia.com]において「DoS」をページ内検索してみるといくつか見つかり、そのいずれの問題も、現象としてはブラウザのクラッシュを引き起こすものです(DoSまたはシステムアクセス――ローカルユーザー権限での任意コード実行――につながるものもあります)。例えばIEのメモリ破壊の弱点 [secunia.com]では、次のように書かれています(今回のものではないので混同しないようご注意)。
影響の種類による(Secuniaでの)分類法については、Secuniaアドバイザリについて [secunia.com]で次のように説明しています。対象を機能不全・障害・停止に追い込み、攻撃者以外の者の利用を妨げるものならDoSである、と。Disturbance of Functionとか表現しても良さそうに思うんですが、長ったらしいかな?
余談ですが、短い表現で問題を発現させることができることは珍しくなく(例: conconバグ)、「一行で」と特筆するほどでもないと思うんですけどね。
Re:酷い奴だな (スコア:1)
Sun Alert ID: 102885 [sun.com]より:
HIRATA Yasuyuki
Re:酷い奴だな (スコア:0)
> ですね。
これは正しい。
> 脆弱性を利用してコンピュータによるサービスが受けられない状態を作り出すことをDoS攻撃なんて言い方をします。
この解釈は、ああ勘違い。恥ずかしい。
DDoSを知りながら、DistributedじゃないDoSを、脆弱性ベースって、どうして考えちゃったんだろう。
DDoSは、「脆弱性を利用してコンピュータによるサービスを受けられない状況を、分散した環境から作り出すこと」じゃなかろうに。
Re:酷い奴だな (スコア:0)
おい!モデレータ目を覚ませよ! (スコア:0)
Re:おい!モデレータ目を覚ませよ! (スコア:0)
Re:酷い奴だな (スコア:1)
少し前に、とあるメーリングリストで似たような事例 (IE6 で落ちるけど IE7 なら問題なし) といったものがありましたが、任意コマンド実行可能な脆弱性という訳でもない不具合ということで、修正しない方向になった、というのがあったと思います。
これと全く同じパターンなので、おそらく修正しないのではないかと。
# Vista IE7 だとノーディレイで普通に表示されちゃうな、これ。