アカウント名:
パスワード:
該当の有名企業がそうであるとは言いませんが、誤植直しやページ差し替えなどの緊急対応を行えるようモバイル接続(PHSやE-Mobile等)や自宅からの接続を許可して欲しいと希望されるケースはあります。
こうなると、接続元IPアドレスを用いた制限は難しくなりますから、実際的には全開放になります。
その対応が良いか悪いかは別として、そのような理由もあるということで。
そういうときは転送するデータに暗号化を施せば良いんでないの?うちの会社もFTPでデータの送受信してるお客さんが何件かありますけど、FTP送信の際は暗号化必須ということにしてます。公開鍵もしくはZIPのパスワード圧縮とか・・・
暗号化も嫌ってお客さんなら、危険性を承知で使ってもらうしかないんですけどね・・・。
実際的には全開放になります。 その対応が良いか悪いかは別として、そのような理由もあるということで。
色々な理由はあるでしょうが、結果として、全開放にしてしまったのなら、対応としては悪いでしょう。 許容できる利便性を維持しつつ、必要なセキュリティ対策を行うのが、技術屋側の仕事かと。
この場合では、サーバにグローバル側とプライベート側の2つのnicを持つマルチホームとし、グローバル側は、必要なポートだけに制限し、コンテンツの更新やサーバメンテなどは、プライベート側から行うようにするのが普通かと。自宅、リモート環境でも、VPN張ってプライベート側に入ればよいですね。ソースIPで制限も可能になりますし。
セキュリティ対策というのは、確かに大変だし、コストもかかるのですが、これを行うのが技術屋の仕事だし、この対策を会社として必要なものとして、認めさせ予算を確保するのが、まともな上司というものだと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
しかし・・・ (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
外部に公開するサイトを管理するのに、接続元を限定しておかないというのが不思議です。
同じセグメント上でFTP使ったらアウトというのが本当だとしたら生のパスワード認証を使っているということでしょうし、
接続元を限定しているのに書き変えられたということなら、その管理用のhostもクラックされて踏台にされているということになります。
そこそこ大手なら、ファイアウォールの外に置く外部サービスのhostと,厳密にアクセス範囲を限定された管理専用のhostを設置する程度の余力はありそうなものですが。
Re: (スコア:0)
該当の有名企業がそうであるとは言いませんが、
誤植直しやページ差し替えなどの緊急対応を行えるよう
モバイル接続(PHSやE-Mobile等)や自宅からの接続を許可して欲しいと
希望されるケースはあります。
こうなると、接続元IPアドレスを用いた制限は難しくなりますから、
実際的には全開放になります。
その対応が良いか悪いかは別として、そのような理由もあるということで。
Re: (スコア:0)
そういうときは転送するデータに暗号化を施せば良いんでないの?
うちの会社もFTPでデータの送受信してるお客さんが
何件かありますけど、FTP送信の際は暗号化必須ということ
にしてます。
公開鍵もしくはZIPのパスワード圧縮とか・・・
暗号化も嫌ってお客さんなら、危険性を承知で使ってもらうしか
ないんですけどね・・・。
Re: (スコア:0)
色々な理由はあるでしょうが、結果として、全開放にしてしまったのなら、対応としては悪いでしょう。
許容できる利便性を維持しつつ、必要なセキュリティ対策を行うのが、技術屋側の仕事かと。
この場合では、サーバにグローバル側とプライベート側の2つのnicを持つマルチホームとし、グローバル側は、必要なポートだけに制限し、コンテンツの更新やサーバメンテなどは、プライベート側から行うようにするのが普通かと。自宅、リモート環境でも、VPN張ってプライベート側に入ればよいですね。ソースIPで制限も可能になりますし。
セキュリティ対策というのは、確かに大変だし、コストもかかるのですが、これを行うのが技術屋の仕事だし、この対策を会社として必要なものとして、認めさせ予算を確保するのが、まともな上司というものだと思います。