アカウント名:
パスワード:
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、 パッチが本当に適用されているかどうかについて語る必要はありませんよね?
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
"自動化された攻撃しか来ないのか”と言うとスクリプトキディみたいなのもいるわけで。 で"自動化攻撃に対して差が無い”、”手動攻撃に対しては隠蔽は”何らかの効果がある”” んであれば隠蔽するべきでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
サーバーにパッチが当たっていなければセキュリティが低いのは当たり前です。
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、
パッチが本当に適用されているかどうかについて語る必要はありませんよね?
攻撃者にとって「バージョン隠蔽=パッチ未適用」が規定路線かどうか、については
そういう攻撃者がいることは事実だと思います。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
少なくともこのツリーと引用されたコメントにはいないようですね。
Re:偏屈な回答ですが (スコア:0)
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
Re:偏屈な回答ですが (スコア:0)
>パッチが適用されているなら、心理とやらについて語る必要すらないよ。
私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
ただ必要だという意見が「ウノウラボ」「@IT」に出されたことで
必要/不要の両面から語りたい人も出てきたのでしょう。
/.でも必要だという人が結構いるようですし。
(その根拠は「管理者の心理」または「セキュリティコンサルの心理」などのように見えますが)
>>そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
これも「管理者の心理」の問題ですよね。
私も個人的にはこういった心理に共感を感じないので「そういう人もいるようだ」としかコメントできません。
Re:偏屈な回答ですが (スコア:1, すばらしい洞察)
>私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
そうかな?特定バージョンの穴のパッチが全て公開されているとは限らないし、
穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
確かに"ふさいでいる・いない”という意味では強度は同じだが、バージョン公開によって、
"攻撃者に穴のある可能性の推定"をしやすくはすると思う。
公開派の"バージョン公開していないと穴を塞いでないと思われるから公開
Re:偏屈な回答ですが (スコア:0)
私は攻撃者の手動による攻撃ではなく自動化された攻撃を想定しています。
そして、実際に公開/非公開に関わらず穴のあいたバージョンを使用している場合、
バージョン判定ロジックつきプログラムを使用する攻撃を受けるのリスクと
無差別攻撃を受けるリスクに有為差は無いのではないかと。
もちろん穴の無いバージョン使用の場合は全く差がありませんし。
という訳で"隠蔽する意味は無い"に一票です。
仰る通りユーザーに必要な情報ではないので"公開すべき"とは言いませんが。
Re:偏屈な回答ですが (スコア:0)
>攻撃者の手動による攻撃ではなく自動化された攻撃を想定しています。
これが不味いんじゃないかなぁ?
おっしゃるとおり、ワームやボットなどの”自動化された攻撃”に対しては
差がないと思われます。
じゃ、"自動化された攻撃しか来ないのか”と言うとスクリプトキディみたいなのもいるわけで。
セキュリティ的にどちらが正しいかという判断にかんしては
自動化攻撃・手動攻撃双方を想定した上で、判断しなければならないと思います。
で"自動化攻撃に対して差が無い”、”手動攻撃に対しては隠蔽は”何らかの効果がある””
んであれば隠蔽するべきでしょう。
隠蔽しない(公開する)ことによって、"パッチを当ててないと思われる(当ててあればいい話しだから、隠蔽と無関係)"以外の
実害(セキュリティ懸念)がある場合のみ公開するべきだと思います。
で無いならば、”余計な情報は与えない”基本に従うべきでしょう。
Re:偏屈な回答ですが (スコア:0)
Re:偏屈な回答ですが (スコア:0)
確かにそうですね。
"大した手間でもないし隠蔽しても良いと思う"に一票ですかね。
元記事のように定量的な分析も無く「セキュリティ向上」と断言されると
どうしても賛同できないのですが、ご意見にはほぼ同意です。
# ある2本のネット記事に関する感想、というだけで大した話題でもないと思うのですが、
# やたらと攻撃的なコメントがついてるのはなぜでしょうね?(#1213884さんのことではないですが)
Re:偏屈な回答ですが (スコア:0)
そのうち、バージョンを隠していないと脆弱性と扱われるようになるのが嫌だからじゃないですかね。IPAに通報する輩が出てくるとか。そいうのは私も勘弁願いたい。
Re:偏屈な回答ですが(オフトピ) (スコア:0)
そういう可能性が現時点であることはあるかもしれないが、
/.で賛成意見の人を嘲るようなコメントを書くことで何か結果が変わるとは思えない。
マイクロソフトやソニーや著名人を攻撃するのはともかく(度が過ぎると見苦しいが)
同じコミュニティの参加者を攻撃するコメントはフレーム以外の何も生まないと思う。
他人の知識不足を指摘するコメントを何個も書く間に実機による検証でもしてくれればいいのに。