アカウント名:
パスワード:
内部構成を踏まえて侵入可能かを確認した方が、それで侵入不可能と判断されるなら、その方が高い安全性を確認できるでしょ?
内部構成を知らせずにテストしてもらって侵入できなかったというだけで安心するようなアホに、個人情報を預かって欲しくないな。
「ファイル名さえわからなければアクセスされない」というTBCみたいな失態を演じるのは、あなたみたいな発想をする輩なんでしょうな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
文句を言う前に専門家に聞くべきだね (スコア:2, すばらしい洞察)
# 間違ったセキュリティー対策情報が質の低いSI/SEから発信されている!?
ネットワークセキュリティーの基礎用語のポートスキャンとかフィンガー
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
現実のクラッカーと同じ立場でお願いしたいのですが」
と言われたので、
「別にそれでも構いませんが、
現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言ったコトあります。
Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
って内部構成を聞かなければ侵入テストできないんですか?
そんなプロに料金払いたくないなぁ。
「手がかりなしで侵入テストできるか」と「侵入してホントに悪さをする」というのは別の問題ですよ。
今回のように(IPアドレスだけではどうかと思いますけど)全く手がかりがないよりは、あったほうが断然クラックし易いと思いますが?
Re:文句を言う前に専門家に聞くべきだね (スコア:3, 興味深い)
ペネトレの意義ってやっぱり勘違いされているんだなあ、と改めて思います。
「侵入」が目的ではなくて、「侵入可能性の探」が目的であり、かつ、短時間に網羅的にやる必要がありますので、
当然、事前情報は可能な限り収集します。
フロントエンドのWWWサーバのクラックに成功するかしないか程度でテストが終了するなら、情報ナシでもいいかも
しれませんが、そういうわけではないですからね。(そういう「厨」なコンサル屋も良くいますが)
#クラッキングコンテストやってるんじゃないんですから。
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
から
> って内部構成を聞かなければ侵入テストできないんですか?
にどうやって話を繋げたかは謎ですねぇ。
構わないんだから内部構成を聞かなくても
侵入できるんじゃないんですかねぇ。
俯瞰しよう。何事も俯瞰しなくちゃ駄目だ。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
そんなプロに料金払いたくないなぁ。
いえてる。そんな厨にお世話になりたくないな。
Re:文句を言う前に専門家に聞くべきだね (スコア:2, すばらしい洞察)
内部構成を踏まえて侵入可能かを確認した方が、それで侵入不可能と判断されるなら、その方が高い安全性を確認できるでしょ?
内部構成を知らせずにテストしてもらって侵入できなかったというだけで安心するようなアホに、個人情報を預かって欲しくないな。
「ファイル名さえわからなければアクセスされない」というTBCみたいな失態を演じるのは、あなたみたいな発想をする輩なんでしょうな。
boolean型の答えなのか? (スコア:1)
これだけで判断されるなら、意味がない。
内部構成を知ってこそ、意味があるんじゃねーの。
.::.:... .::....: .::...:: .::.:.:: .::..:.: .:::..:.
I 1 2 B H4[keR. :-)
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
ま、まさか盗聴していていいわけないですよ。
それは、
内部構成を教えるか教えないかと、
盗聴しつづけていいかどうかは無関係だからですよ。
まさか事前情報無しのときは悪事放題という会社ではありますまいな。
まず事前情報無しでテストして、
その結果を受けた後、更に情報アリでテストするってことはできないものでしょうか。
っつーか顧客側からはそのように願いたいものですが。
Re:文句を言う前に専門家に聞くべきだね (スコア:2, 興味深い)
そうですか?テスト環境にもよりますし、実際にやるかどうかはともかく、ですが、
本来であれば、ペネトレをやる以上は、盗聴や辞書攻撃してでも「クラックされる可能性があるか」を
探索するのは、目的からして当然のコトだと考えますが、いかがでしょうか。
盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
また、その担保にNDA契約等を締結しますよね。勝手放題するわけぢゃあないです。
> 内部構成を教えるか教えないかと、
> 盗聴しつづけていいかどうかは無関係だからですよ。
盗聴によって直接パスワードなどのクラックをするのでなくても、アドレス情報、ルーティング状況、ファイアウォール・ルータやIDS等の設置状況、
などなど、内部構成につながる情報は、盗聴(言葉が悪ければモニタリング)により、たくさん手に入るのではないでしょうか。
とてもじゃないが「無関係」とは思えません。
みんつ
Re:文句を言う前に専門家に聞くべきだね (スコア:1)
>「え、IPアドレスや内部ネットの構成や状況をお教えするんですか?
>現実のクラッカーと同じ立場でお願いしたいのですが」
>と言われたので、
>
>「別にそれでも構いませんが、
>現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
というやり取りから、
>盗聴やクラックを継続して行ったり、システムに影響を与えそうな場合には、顧客には通知しますよ、もちろん。
>勝手放題するわけぢゃあないです。
というニュアンスを感じ取ることができませんでした。
申し訳ない。
もしわたくしが客の立場で
>「別にそれでも構いませんが、
>現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言われたら、
そのように言ってくる人に仕事は依頼しないですし。
>Yes だったら、ホントに RootKit 仕込むつもりでいました :-)
ってねぇ。
>盗聴や辞書攻撃してでも「クラックされる可能性があるか」を探索する
ような人が
>侵入したまま半年間盗聴していてもいいですか?
なんて言いますかねぇ。
少なくともわたくしには意味が通じないですけど。
オフトピで掘り下げるのも申し訳ないので、
これにて失礼させていただきます。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
「現実のクラッカーと同じ立場でお願いしたいのですが」
と言われたから、
「現実のクラッカーと同じように、侵入したまま半年間盗聴していてもいいですか?」
と言ったということでは?
理解したくない心境だと理解力が低下する点に注意しましょう。
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
オフトピだけど、このスレッドで何人の厨が釣れたことやら。
こんなところにも、件の自治体連中と同じ(低)レベルの
業界人が居るんだね。
さっさと資格検定制度でも作ってやってくれ>総務省 (嘘)
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
> その結果を受けた後、更に情報アリでテストするってことは
> できないものでしょうか。
それは検査にコストがかかるだけでは?
事前情報無しのテストの結果には、どんな意味があるのでしょう?
Re:文句を言う前に専門家に聞くべきだね (スコア:0)
>> その結果を受けた後、更に情報アリでテストするってことはできないものでしょうか。
っつーか、「IPアドレスやOSの種類なんて時間かけてネチネチ調べればいず