パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ワームの発生は止められない」記事へのコメント

  • 実際問題として (スコア:2, すばらしい洞察)

    いくらセキュリティホールがあるためにプログラムを入れ替える(パッチを適用する)としても、別のマシンで事前テストを行って要求される機能が全て確実に動作していることを確認してからでないと、そら恐ろしくてサービス提供中のマシンには入れられませんわ。
    • by Anonymous Coward on 2002年07月09日 9時36分 (#121441)
      セキュリティホールがあることがわかってるマシンでサービスを提供し続けることは恐ろしくないの?
      とうぜん、サーバーは止めて作業してるんだよね? そうは読めないけど。
      親コメント
      • by Anonymous Coward
        セキュリティーホールの有無<サービスの継続性
        というプライオリティの仕事も多いですよ。
        ヤバ目の時はリアルタイムで監視はするけど、サービス停止には管理者権限
        では出来なくて、もっと上位の人間の承認が必要だったり。
        で、今のところサービス停止の許可は出たことありません。

        もちろん、担当役員もセキュリティホールによる

        • by G7 (3009) on 2002年07月09日 12時02分 (#121550)
          >で、今のところサービス停止の許可は出たことありません。

          >と計算されているのでそこの計算がくつがえらない限りは今の体制のままでしょう。

          つまり会社組織というものの問題ですね。

          >別に会社批判では無いですし

          いや、立派な(=誰に憚ることもない)批判でしょう。
          特定企業じゃなくて企業というもの一般に向けられた批判ではありますが(もちろん、だから悪いということは全然無い)。
          親コメント
        • by Anonymous Coward
          > もちろん、担当役員もセキュリティホールによるリスクは理解しています。
          > セキュリティーホールによる会社への実害予想見積り<停止する事による確実な損害
          > と計算されている

          顧客情報を抜かれてもかまわないと?
          • by kota128 (6016) on 2002年07月09日 12時19分 (#121570)
            顧客情報を抜くワームが繁殖中とかいうニュースが流れれば

            セキュリティーホールによる会社への実害予想見積り>停止する事による確実な損害

            となって止めるんではないかと。
            そうでもないなら、上の人は納得しないのでしょう。
            親コメント
            • by Anonymous Coward
              > そうでもないなら、上の人は納得しないのでしょう。

              その会社の顧客名簿はもう盗まれてるかも。
              表沙汰にならないだけで。
              • by myr (4629) on 2002年07月09日 14時10分 (#121639) ホームページ
                表沙汰にならなきゃ損失として計上しようがないんだから
                どうやって上司を説得するのよ?

                あまりに机上の空論多すぎ

                まず
                a : 管理者のコスト
                b : crackされた時のコスト
                c : crackされる確率
                d : crackされて、それに気づかない確率

                この辺をちゃんと出してから考えなよ。
                んで、あなたはそれぞれの数字を客観的なデータを元に示さ
                ないと、他人を説得はできませんよ?
                特にb,c,d は説明しにくいと思うが・・・

                たとえば実際に踏み台にされてどっかを攻撃するって事件があって、
                それの損害賠償を要求されたケースってばどんぐらいあるもんなんでしょう?
                もちろん日本限定の話ですよ?
                親コメント
              • by Anonymous Coward
                >たとえば実際に踏み台にされてどっかを攻撃するって事件があって、
                >それの損害賠償を要求されたケースってばどんぐらいあるもんなんで
                >しょう?
                そうですね。
                その実例が無い限り、セキュリティーホールによる損害計算は机上の
                空論に過ぎないって事になるかと思われます。

                実際、顧客データの漏洩事

            • by Anonymous Coward
              怖いのはワームだけじゃないんですけど。特定サーバー狙いのクラッカーってのもいるわけで。
              ワームは自分のところに来るまでに存在が判明している「可能性」があるのに対して、クラッカーの標的になる場合は普通前触れ無し。セキュリティホールがあれば対処できない(対処できるのであればセキュリティホールではない)し、クラックされたことに気づけないような穴であれば、実はすでにクラックされているってこともありえる。
              さほど宣伝してもいない、有名でもない個人サイトなら標的になる「可能性」は低いでしょうけど、規模の大小にかかわらず「会社」のサイ
          • by Anonymous Coward
            >顧客情報を抜かれてもかまわないと?
            いいえ、もちろんそれは避けるべき事となってます。
            が、その為に万全な対策を行う事により派生する費用が、実際に
            顧客情報を抜かれたりするリスクの確率に比べて大きすぎると計算
            されているだけです。
            完全を期さないものはリスクを考えないと受け取るのは短絡的過ぎです。

            だから件の責任にしてもきちんとセキュリティーに対する知識

      • by Anonymous Coward

        Googleとか/.Jとか止まってるとこ見たことないんだけど 一台ずつ切り離してパッチ当ててるのかな?

        当ててる間はセキュリティホール残ったままなんだよね。 それとも徹底的な試験でApacheよりずっとセキュアな特製 サーバ使ってるとか?

        • by Anonymous Coward
          大規模なサイトの場合は当然1台じゃ裁ききれませんからロードバランサを入れて
          サーバを複数台にしている場合が殆どです。

          アップデート中はロードバランサの設定をいじってロードバランスの対象から
          外しておけば、外から見れば反応が多少鈍くなる程度でサービスが止まらずにすみます。
          • by Anonymous Coward
            いや、サービスを止めないで一部ずつアップデートするってことは、その間にやられるリスクは甘受してでもサービス止めたくないってことですよね?

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...