アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
引き金 (スコア:1, すばらしい洞察)
-- LightSpeed-J
損益評価(Re:引き金) (スコア:3, 参考になる)
抗議した人々はきっと、「自分だったらこのような情報を元に攻撃を仕掛ける」と考えてそれを恐れたのでしょう。:)
(以下真面目モード)
配布によるメリットとしては晒しあげによる一種の脅迫効果により早急な改善が期待できる。
デメリットとしては弱い自治体がクラックの対象となる.
ちょっとメリットデメリットを比較してみましょう。
例えば私の管理しているac.jpなマシンには日に数回は世界の裏側からftpアクセスの試みが有ります。おそらく自治体のマシンも似たような頻度でプローブを受けている事でしょう。仮に、脆弱なマシンにこのようなプローブが行なわれたとし、その結果暴露された脆弱性が実際のクラックに繋がる確率を「プローブ即クラック確率」としましょう。とすると、脆弱なマシンの一日当たりの被クラック確率はプローブ即クラック確率*数回と見積もれます。
第二に、問題のリストを受けとった全国数千の自治体の役人一人一人について、リストより判明する脆弱性情報を用いてクラックを行なう確率を「役人悪事働く確率」とすると、今回の晒しあげに由来する脆弱マシンの被クラック確率は役人悪事働く確率*数千となります。
つまり、
メリット: 脆弱なマシンがクラックされなくなる確率=改善脅迫効果による脆弱なマシン存続時間の短縮*時間当たり被クラック確率=短縮日数*プローブ即クラック確率*数回
デメリット:脆弱なマシンがクラックされる確率=役人悪事働く確率*数千
未知数は多いですが、私の感覚的にはメリットの方が大きいかな....
(未知数を明らかにするコメント求む)
Re:損益評価(Re:引き金) (スコア:0)
このメールが盗み読まれている確率を、デメリットにいれれば、明らかにデメリットの方が大きいような
Re:損益評価(Re:引き金) (スコア:2, すばらしい洞察)
> (稼働日数*プローブ即クラック確率*数回)
> このメールが盗み読まれている
こんなことをする連中ならば、IPアドレスや
web serverのバージョンなんて、もともと
知ってないわけないじゃん。
つまり、この意味でのデメリットはないね。
Re:損益評価(Re:引き金) (スコア:0)
んだもんで、デメリットありあり。
Re:損益評価(Re:引き金) (スコア:0)
> 役人悪事働く確率*数千となります。
"役人 (それぞれの) 悪事働く確率" が 0.2% だと仮定すると,
特定の役人集合の人数が "数千" のとき
"脆弱マシンの被クラック確率"
(特定の役人集合のうち誰かが悪事働く確率)
は 0.2 * "数千" %になりますね。
"数千" のとりうる範囲が 1000 から 9999 までならば
"脆弱マシンの被クラック確率" は
200% から 1999.8% の範囲となります。
さいこ
Re:損益評価(Re:引き金) (スコア:1)
明記されていませんな。
わたしもいくつか例示してみましょう。
#大元のコメントは皮肉のつもりで書いたのかな?
#それとも大真面目(汗)??
>"役人 (それぞれの) 悪事働く確率" が 0.2% だと仮定すると、
>特定の役人集合の人数が "数千" のとき
>"脆弱マシンの被クラック確率"
>(特定の役人集合のうち誰かが悪事働く確率)
>は 0.2 * "数千" %になりますね。
正確には、各人が魔が差す確率を考える場合、役人の母体数は
何人だろうがあまり意味を持たず、統計的な考え
(役人総数の0.2%が魔が差す)とするなら、百分率で100と
考えなければ意味ありませんよね。
あと、各人の魔が差す率と母体数に対しての魔が差す率(統計的確率)には
定義しない限り特別な相関はないと考えるべきです。
・・・だって、そんなこと何も述べてないんだもの。
#まじめに数式で書くと・・・、
#それぞれの役人が悪事を働くのは0.2%とすると、
#各人について0.2%の可能性があり、総体としてクラックが
#発生する場合だと、論理和で考えて、
#(1-「誰もがクラックをしない確率」{(99.8/100)^母体数})*100 %
#と、考えるべきかな?
#母体数 数千の役人について、その0.2%が悪事を働く確率なら、
#(0.2 * 母体数) / 母体数 = 0.2%で結局百分率表現の確率は
#表現そのまんまやん(汗)。
クラックを受ける数としては (母体数 * 0.2)回起こる可能性がある
と言うのは間違いとは言えませんが、確率と言ってしまうのは
大間違い。
それも各人が行儀よく一回だけアタックし、問題なく成功した場合の、
単なる可能性の話。
#最低線としての予想発生数の定義なら、まあ合ってるかも。
#最低線を見積もっても、意味はないかもしれないけど。
---- redbrick
Re:損益評価(Re:引き金) (スコア:0)
なんせ相手はお役所ですから、「善処します」と言われたところで信頼性が無いっす。