アカウント名:
パスワード:
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、 パッチが本当に適用されているかどうかについて語る必要はありませんよね?
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
そういうケースを想定するならバージョンを隠しても無駄。
バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。 塞いでいるかいないかはその時点で攻撃者はわからない。
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
で、さて、脆弱性公開されてパッチの出てない穴なんて短期的には幾らでもあるわけで。 あるバージョンにあって、新バージョンには無い脆弱性。新バージョンにあって旧バージョンにない脆弱性。幾らでもあるわな。
最近はそうでもないなあ。Apache 1.3.x なんかはもう十分に枯れたコードで、脆弱性が見つかるのはたいてい mod_なんとかにで、それを使ってないところはアップデートする必要がないから、若干古めのバージョン使ってることを Server: で晒してても何ら問題ないし。
「短期的」な状況として、パッチ未リリースの脆弱性が公表されたときについて言えば、 スクリプトキディ
IISの不具合で上記になったときに、わざわざ、"IISです"って教えるのと、apacheかIISか解らない状態と本当に一緒?
同じですよ。
"正規ユーザーが必要としない余計な情報は与えない" ってのが全ての基本じゃないの?
ぜんぜん基本じゃない。馬鹿の一つ覚え。自分の頭で考えなきゃだめだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
偏屈な回答ですが (スコア:5, 興味深い)
#ちなみに私は概ね隠します。理由は、なんとなく (笑
Re:偏屈な回答ですが (スコア:1, 興味深い)
一応これはセキュリティ的に良い悪いの話なので…。
バージョン情報みたいに実際には毒にも薬にもならないものであれば好みやポリシーでも構わないんですが、
例えば「脆弱性のあるバージョンのapacheを放置するかどうか」を好みやポリシーだといわれるとちょっと困ります。
今回の話はどちらかというと「バージョン情報を隠すのがセキュリティ確保に有効」と言う話に対して、
「おいおいちょっとまてよ、隠すのは構わんけど隠しても大した効果はないぞ」と言うコメントがついているんでしょう。
Re:偏屈な回答ですが (スコア:0)
こんな基本的なこともやっていないサイトと思われるよ。
投稿者: Anonymous | 2007年08月28日 23:26
>こんな基本的なこともやっていないサイトと思われるよ。
とんでもない。バージョンは隠さないのがセキュリティ業界の常識です。
バージョンを隠していると、脆弱性パッチをあててないと思われてむしろexploitをつっこまれる。
投稿者: Anonymous | 2007年08月29日 23:04
----
このように、バージョン開示派には「バージョンを隠匿するとセキュリティが低下する」という
ご意見もあるようで、なかなか賛否両論のようです。
Re:偏屈な回答ですが (スコア:4, すばらしい洞察)
どこにぶら下げようか迷ったんですが、とりあえずここで。
他にも同じような発言があったのですが、どうも「バージョン隠蔽=パッチ未適用」が規定路線として語られてる感があります。
パッチ未適用ならバージョンを隠蔽しようが公開しようが攻撃者から見て事実上何の差異も無いのであれば、
パッチはきちんと当たってるという前提で、その上で「バージョンを公開/非公開」の論議をすべきでは?
どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
# 私は公開した方がいいと思います。バージョン情報を参照するのは別に攻撃者だけってわけでも無いでしょうから。
# 逆に言うと他に利用されない情報ならわざわざ公開する必要は無いでしょう。無駄というものです。
Re:偏屈な回答ですが (スコア:0)
サーバーにパッチが当たっていなければセキュリティが低いのは当たり前です。
バージョンを公開するかどうかは「攻撃者の心理」との戦いなのですから、
パッチが本当に適用されているかどうかについて語る必要はありませんよね?
攻撃者にとって「バージョン隠蔽=パッチ未適用」が規定路線かどうか、については
そういう攻撃者がいることは事実だと思います。
そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。
少なくともこのツリーと引用されたコメントにはいないようですね。
Re:偏屈な回答ですが (スコア:0)
パッチが適用されているなら、心理とやらについて語る必要すらないよ。
べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
Re:偏屈な回答ですが (スコア:0)
>パッチが適用されているなら、心理とやらについて語る必要すらないよ。
私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
ただ必要だという意見が「ウノウラボ」「@IT」に出されたことで
必要/不要の両面から語りたい人も出てきたのでしょう。
/.でも必要だという人が結構いるようですし。
(その根拠は「管理者の心理」または「セキュリティコンサルの心理」などのように見えますが)
>>そして管理者はパッチがあたっていようとも「exploitをつっこまれる」よりつっこまれない方がより良いと思うでしょう。
>べつに思わない。というか、現に日々大量にexploitが突っ込まれてるのが現実なんですが?
これも「管理者の心理」の問題ですよね。
私も個人的にはこういった心理に共感を感じないので「そういう人もいるようだ」としかコメントできません。
Re:偏屈な回答ですが (スコア:1, すばらしい洞察)
>私もパッチが適用されていればバージョンが公開されているかどうかは
実質的なセキュリティ強度には関係無いと思います。
そうかな?特定バージョンの穴のパッチが全て公開されているとは限らないし、
穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
確かに"ふさいでいる・いない”という意味では強度は同じだが、バージョン公開によって、
"攻撃者に穴のある可能性の推定"をしやすくはすると思う。
公開派の"バージョン公開していないと穴を塞いでないと思われるから公開
Re:偏屈な回答ですが (スコア:0)
そういうケースを想定するならバージョンを隠しても無駄。
そう感じるのはあなたの技術力が低いから。ゼロデイアタックができるような技術力の者はそうは思わない。
Re:偏屈な回答ですが (スコア:0)
詭弁もいいところだなぁ。
>バージョン公開によって、 "攻撃者に穴のある可能性の推定"をしやすくはすると思う。
これは”ゼロデイアタック"だけを対象にした話じゃないでしょ。
サーバー名、バージョン名が見えていれば"過去にあった穴”の情報はわかる。
塞いでいるかいないかはその時点で攻撃者はわからない。ただ”穴がある場所の推定はしやすい”って話。
>特定バージョンの穴のパッチが全て公開されているとは限らないし、穴の情報を”攻撃者だけが知っている(ゼロデイアタック)"事が無いとも限らない。
>そういうケースを想定するならバージョンを隠しても無駄。
これも嘘。iisの6に会って5にない穴もあるし、iisにあってapacheに無い穴もある。
全てにパッチが公開されてから穴の情報が出るかというとそうとも限らない。
修正パッチが公開されない(されるのが遅い)不具合なんて山とありますが?
Re:偏屈な回答ですが (スコア:0)
ww。いやだから、あのさ、技術力の高い者(ゼロデイできる人とかね)にはそんなのわかるんだって。あんたがわからないってだけ。己の無知を理解しなさいよ。
Re:偏屈な回答ですが (スコア:0)
”技術の高い人に対して無駄だから、幼稚園にもわかる穴の情報をわざわざ公開するのかね”
攻撃者の技術にも高いの低いの色々いる。
高いのに対して無駄だからノーガード??アホか。
"隠蔽することによってセキュリティリスクが上がる(穴が増える・穴を推定される可能性が増える)"のか?
"公開することによっては、間違いなく"自分で穴を見つけるゼロデイを出来る人間以外にも”穴を推定する情報を与える”
パッチ公開されてない穴とかね。
さてどっちがましな運用かね。
Re:偏屈な回答ですが (スコア:0)
脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
>幼稚園にもわかる穴の情報をわざわざ公開するのかね
幼稚園児にわかるような穴がある時点で終わってるよ。
Re:偏屈な回答ですが (スコア:0)
なんで、わざわざこれを無視するのかね。
>脆弱性塞いでるからノーガードじゃない。ノーガードの人がバージョンを隠す。
これも単なる言いがかり。
公開してようがしてなかろうが、パッチは全て当て、いらんポートは全部塞ぎ、その上で。(正しい運用は前提で)
公開・隠蔽したほうどちらが攻撃を受けるのか、受けないのか。
公開・隠蔽したほう攻撃に対して強いのか、弱いのかの話だろ。
で、さて、脆弱性公開されてパッチの出てない穴なんて短期的には幾らでもあるわけで。
その中で、apachにあってiisにない脆弱性、iisにあってapacheにない脆弱性。
あるバージョ
Re:偏屈な回答ですが (スコア:0)
最近はそうでもないなあ。Apache 1.3.x なんかはもう十分に枯れたコードで、脆弱性が見つかるのはたいてい mod_なんとかにで、それを使ってないところはアップデートする必要がないから、若干古めのバージョン使ってることを Server: で晒してても何ら問題ないし。
「短期的」な状況として、パッチ未リリースの脆弱性が公表されたときについて言えば、
スクリプトキディ
Re:偏屈な回答ですが (スコア:0)
報道とかで既に大騒ぎになっているでしょうから、そういうときはどのみち特別対応するときだし、どうせ全ユーザ横並びで未パッチなのは明らかなんだから、バージョン隠してても同じことですし、
例えば、
IISの不具合で上記になったときに、わざわざ、"IISです"って教えるのと、apacheかIISか解らない状態と本当に一緒?
"正規ユーザーが必要としない余計な情報は与えない"
ってのが全ての基本じゃないの?
Re:偏屈な回答ですが (スコア:0)
同じですよ。
ぜんぜん基本じゃない。馬鹿の一つ覚え。自分の頭で考えなきゃだめだよ。
Re:偏屈な回答ですが (スコア:0)
"穴のあるIISです”って教えるのと
"IISかAPACHE"か解りません
ってのが同じわけ無いだろW
普通は”穴があるのがわかってる”所狙うわな。
Re:偏屈な回答ですが (スコア:0)
>ってのが同じわけ無いだろW
どうしてそんなにバカなの?
>普通は”穴があるのがわかってる”所狙うわな。
シェアが、IIS: 45%, Apache:45% だったら、おおむね半分の確率で当たりだから、いちいちバナーを調べるわけもなし。
Re:偏屈な回答ですが (スコア:0)
”自分の都合のいい脳内設定”で無理やり正当化するのかね。
半分所か。
http://itpro.nikkeibp.co.jp/article/NEWS/20070808/279397/ [nikkeibp.co.jp]
ほぼapache6割強、iis3割強。さて君の理由は完全に否定されたわけだが?
IISに絞って攻撃するつもりなら間違いなくバナー調べたほうが早いね。
Re:偏屈な回答ですが (スコア:0)
ゆとり世代は2つまでしか数えられないのかね。
Re:偏屈な回答ですが (スコア:0)
↑大嘘でのいいわけ。
大嘘を指定されたら↓
>2回やるのも3回やるのもおんなじなんだが。
ですか。すでにあなたの言ってる事は1行目で”自分の思い込みの脳内設定”って証明されてるのに。
どっちが攻撃しやすいか(危険か)って話なのに。
見苦しいね。
反論するなら、サーバーシェアのように
"きちんとしたソースで論理的に反論してね。でないと所詮ただのまけおしみだよ♪。"